Como parte das relações de segurança iniciais que construímos com novos clientes, a ESET examina a gestão e os funcionários responsáveis das empresas sobre a sua visão e os grandes desafios no que respeita à segurança. Muitas das grandes empresas identificaram o mau comportamento no que respeita à segurança por parte dos seus funcionários como um dos maiores desafios de segurança. É paradoxal que, embora as empresas percebam que aumentar a consciencialização acerca da segurança entre os funcionários tornaria a sua organização mais segura, de um modo geral não investem recursos suficientes para isso acontecer.
Com o objetivo de aumentar a segurança física e a segurança pessoal dos funcionários dentro de uma empresa, são muitos os casos em que os funcionários recebem uma formação obrigatória sobre segurança no trabalho, bem como proteção contra incêndios e saúde como parte de um processo de integração. No entanto, hoje em dia uma empresa pode não apenas ser desativada por um incêndio, mas também através de um ataque informático bem-sucedido, ou até de um funcionário irritado que compromete deliberadamente a segurança da instituição. Outro caso muito comum é a falta de atenção/ formação dos funcionários, que podem clicar descuidadamente em anexos estranhos ou aceder a sites inseguros, com o objetivo, por exemplo, de fazer algumas consultas pessoais ou relacionadas com o trabalho. Portanto, é do interesse da entidade empregadora consciencializar todos os funcionários sobre a necessidade de um comportamento responsável na rede, apoiar a formação contínua e/ ou o e-learning, para além de monitorizar os direitos de acesso e as mudanças bruscas no comportamento de uso.
As empresas devem focar-se na formação e nas diretrizes
As empresas devem implementar certas regras de utilização adequada da Internet e da rede. Essas regras devem incluir onde não clicar ou do que não fazer downloads, quem consultar sobre e-mails suspeitos e o que fazer se um funcionário suspeitar que algo de mal já aconteceu. Todas estas informações/regras podem ser incorporadas às diretrizes internas de uma empresa, o que permitiria à empresa disciplinar um funcionário que viola as diretivas de segurança repetidamente.
No entanto, as diretrizes devem ser acompanhadas de formação interna. “Dar a um novo funcionário 250 diretrizes para ler não é o caminho certo a seguir. Na verdade, poucos funcionários as leem realmente. Como tal, é bom educar os funcionários de forma proactiva e avaliar o que aprendem”, diz Michal Jankech, principal gestor de produto da ESET, descrevendo uma forma mais eficaz de aumentar a consciencialização sobre segurança entre os funcionários.
“Entre os nossos clientes estão também empresas que investem muito em formação em segurança de TI. Como resultado, todos os funcionários sabem como agir em situações específicas, como quando deparam com um colega a aceder a sites inseguros ou quando encontram uma chave USB no corredor, ou encontram documentos confidenciais deixados na impressora e assim por diante. Isto contribui significativamente para a segurança geral da empresa”, explica Jankech.
Pode ser difícil reconhecer um email suspeito
Ao dar formação aos funcionários sobre segurança de TI e criar diretivas, é importante perceber que os funcionários podem ter comportamentos que comprometem a segurança, intencionalmente ou não. Um mau comportamento no que respeita à segurança pode não ser intencional quando, por exemplo, um funcionário não consegue avaliar se um e-mail é suspeito ou desconhece a aparência de um link suspeito. Os hackers geralmente usam técnicas sofisticadas e têm know-how para fazer com que e-mails maliciosos pareçam confiáveis - por exemplo, podem incluir um link para um site falso do banco ou da empresa em que o funcionário trabalha. Neste caso, é necessário avaliar links, validações e certificados. Claro, que isto é algo que um funcionário comum sem formação não faria.
O mau comportamento não intencional dos funcionários pode ser dividido em malicioso e outros comportamentos menos prejudiciais. Por exemplo, se um funcionário decide usar a Internet para fins pessoais e compra legalmente um filme e faz o download na rede da empresa, isto pode ser considerado um comportamento que compromete a segurança, contudo provavelmente não é intencional, mesmo não sendo inofensivo.
Empresas podem ser legalmente responsáveis por conteúdo partilhado ilegalmente
A situação é completamente diferente quando um funcionário faz o download de filmes ou músicas ilegais para a rede da empresa. Neste caso, a empresa pode ser responsabilizada pelo proprietário dos direitos de autor e/ou de divulgação por danos, para além de receber uma multa pesada. Isto acontece porque numa grande parte do mundo a responsabilidade legal é da pessoa/ entidade que assinou o contrato com o fornecedor de serviços de Internet. Em muitos casos, a empresa seria legalmente responsável, não o funcionário que fez o download do conteúdo ilegal no trabalho.
Funcionários descontentes podem ser uma ameaça para a empresa
O comportamento malicioso deliberado ocorre quando um funcionário prejudica intencionalmente a empresa. Por exemplo, um funcionário que sai da empresa em más condições pode decidir copiar a base de dados de clientes e retirá-la da empresa. Ou ainda, um funcionário ressentido pode infetar intencionalmente a rede da empresa ou danificar seus dados.
Para além da formação interna e da inclusão de diretrizes, é possível impor um comportamento mais adequado no que respeita à segurança por parte dos funcionários usando a tecnologia, como o uso do software Data Leak Prevention, concebido para proteger a empresa de tentativas de sabotagem ou roubo de dados que possam custar à empresa uma multa por violar o Regulamento Geral de Proteção de Dados (RGPD).
Cobertura e visibilidade abrangentes
O software de segurança da ESET possui a opção de bloquear a transferência de dados da empresa através de dispositivos móveis. Por exemplo, a empresa pode determinar quais os funcionários que têm permissão para copiar dados da empresa para dispositivos USB ou a quem é permitida a transferência de dados apenas para chaves USB específicas que tenham o seu conteúdo encriptado pelo ESET Endpoint Encryption. Utilizando o ESET Endpoint Security, a empresa pode bloquear o acesso a tipos específicos de sites. Por exemplo, sites em que os funcionários podem fazer upload de dados comerciais, ou sites de baixa reputação que possam ser uma fonte potencial de infeção com malware. Outra ferramenta útil é o ESET Enterprise Inspector, que também permite a pesquisa de comportamentos maliciosos praticados pelos funcionários.
Os dados de todas estas soluções de segurança são disponibilizados aos administradores de TI de forma clara e organizada no ESET Security Management Center (ESMC). Assim, a segurança de TI na empresa não apenas obtém uma boa visão geral do que está acontecendo na rede corporativa, mas também pode resolver incidentes de segurança com um único clique no ESMC. O ESET Security Management Center está incluído em todas as soluções empresariais da ESET.
