Guest

Complacência e desconhecimento colocam em risco os dados corporativos

Hierarchical Navigation

A Cisco identifica quatro perfis diferentes de comportamento que podem colocar em risco a segurança das empresas


  • Menos de metade dos trabalhadores acredita que manter a salvo os seus dados pessoais e corporativos é da sua responsabilidade
  • 69% dos colaboradores não tem consciência das ameaças de segurança mais conhecidas, como o Heartbleed
  • 44% dos colaboradores admite ter um nível de adesão baixo ou moderado às políticas de segurança implementadas
  • 31% acredita que a segurança de TI está a atrasar a inovação e a colaboração, dificultando o seu trabalho

Os dados corporativos críticos estão em risco em toda a região da Europa, Médio Oriente, África e Rússia (EMEAR), resultado do facto das empresas centrarem as suas políticas e recursos de segurança na defesa de ameaças externas (como hackers e cibercriminosos), não dando a atenção suficiente às próprias ameaças internas.

O último estudo sobre Segurança da Cisco – baseado em mais de 12 000 colaboradores de organizações de 13 diferentes países da região EMEAR – revela duas conclusões significativas.

Em primeiro lugar, o estudo demonstra que o comportamento dos trabalhadores constitui um elo fraco na cadeia de cibersegurança, tornando-se numa fonte de risco crescente e estando mais ligado à complacência e desconhecimento do que à malevolência. Os colaboradores esperam que os mecanismos de segurança implementados pela empresa tratem de tudo por eles e não estão conscientes do verdadeiro perigo das ameaças.

Em segundo lugar, demonstra que um crescente número de colaboradores creem que as políticas de segurança estão a atrasar a inovação e a colaboração, complicando o bom desempenho das suas tarefas, o que faz com que alguns decidam ignorar essas políticas.

Hacktivismo e o comportamento dos utilizadores são principais riscos

Os colaboradores identificaram o seu próprio comportamento como o segundo maior risco para a segurança dos dados corporativos (52% dos inquiridos), ultrapassado apenas pela atividade dos hackers (60%). Outros dados indicam que todos os colaboradores inquiridos utilizam a rede corporativa para realizar transações pessoais, como a gestão das suas contas bancárias (73%), compras online (61%) e redes sociais (48%).

Eutimio Fernandez, Diretor de Segurança da Cisco para Portugal e Espanha assinala

“o estudo confirma os desafios complexos que as organizações enfrentam relativamente à segurança de TI. Ainda que a maioria dos trabalhadores reconheça que a ameaça dos cibercriminosos é real e requer uma defesa contínua, a atitude de complacência está a aumentar os riscos para as empresas da região EMEAR. Um trabalhador que confia cegamente nos mecanismos de segurança é um dos vários elos fracos da cadeia de segurança, tornando mais fácil para os hackers encontrarem portas de entrada para os dados corporativos confidenciais”.

Cultura de complacência e desconhecimento

Segundo o estudo, a maior ameaça interna para as organizações é consequência de um sentimento de complacência dos colaboradores, que assumem que a empresa protege automaticamente as suas atividades online. Assim, 35% das pessoas espera que os mecanismos de segurança implementados as protejam de qualquer risco, enquanto menos de metade (42%) acredita que é da sua responsabilidade manter os dados pessoais e da empresa seguros. Da mesma forma, 62% dos inquiridos parece estar distante da verdadeira extensão das ameaças, considerando que o seu comportamento tem um impacto baixo ou moderado na segurança.

As políticas de segurança também não têm o rigor necessário. Enquanto 59% dos colaboradores acredita que a sua empresa tem uma política de segurança, 23% não sabe se existe efetivamente uma política ou não.

Quase metade dos inquiridos (46%) consideram que a política não afecta o seu trabalho e 38% afirmaram que apenas notaram que a política existe quando foram impedidos de fazer algo pelos mecanismos de segurança. Como resultado, 43% dos colaboradores admitiram ter um nível de adesão baixo ou moderado às políticas implementadas e que têm mais cuidado com a segurança em casa (25%) do que no trabalho (16%).

Para além disso, uns surpreendentes 69% não estão conscientes das ameaças de segurança mais conhecidas, como o Heartbleed. Assim, um terço dos inquiridos (32%) não alteraram a sua atitude após uma falha de segurança e 55% admitem não ter uma password diferente para cada site e aplicação.

Atraso para a inovação e colaboração

Os colaboradores da região EMEAR consideram, cada vez mais, a segurança de TI uma barreira em vez de facilitadora do negócio. O estudo revela que uma em cada seis pessoas (17%) acredita que a segurança de TI está a atrasar a inovação complicando a colaboração, enquanto 14% acredita que a segurança dificulta o seu trabalho. Por fim, um em cada seis (17%) inquiridos considera que perder uma oportunidade de negócio tem um custo maior para uma empresa do que uma falha de segurança.

Desta forma, os resultados indicam que as estratégias de segurança de TI implementadas atualmente não correspondem à forma como os trabalhadores querem desempenhar as suas tarefas. “Os colaboradores acreditam que as políticas atuais de segurança devem mudar para que as empresas possam impulsionar a inovação e facilitar a colaboração, reforçando simultaneamente a segurança da rede corporativa, os dipositivos e a Cloud contra ataques externos”, continua o responsável da Cisco.

Assim, o equilíbrio entre facilidade de operação e proteção requer uma nova abordagem para a segurança de TI, “capaz de adaptar-se ao comportamento dos utilizadores e com base na visibilidade, no foco nas ameaças e na simplicidade na altura de gerir diferentes soluções de forma unificada”.

Políticas centradas nos utilizadores

Como parte do estudo, a Cisco identificou quatro perfis diferentes de comportamento face à segurança de TI na região EMEAR, que podem servir como base para estabelecer estratégias centradas no comportamento dos trabalhadores. Cada um destes perfis representa um nível de risco distinto para a segurança dos dados corporativos e requer uma abordagem específica. Os quatro perfis são:

  • Conscientes das ameaças: colaboradores que são conscientes dos riscos de segurança e tentam manter-se seguros online de forma rigorosa.
  • Bem intencionados: colaboradores que cumprem as políticas de segurança mas não o fazem de forma constante.
  • Complacentes: colaboradores que esperam que a empresa se ocupe completamente da rede de segurança e não assumem nenhuma responsabilidade pessoal para proteger os dados corporativos.
  • Apáticos e cépticos: colaboradores que acreditam que as ameaças da cibersegurança estão sobrevalorizadas e que os mecanismos implementados inibem o seu rendimento, ignorando as políticas como consequência.

A criação de políticas centradas nos utilizadores implica que as organizações adoptem uma estratégia de segurança automatizada e gerida centralmente, em vez de se apoiar nos procedimentos tradicionais pontuais. Esta tendência, impulsionada pela mobilidade empresarial e pela maior procura de processos colaborativos e de acesso à informação, permitirá aos departamentos de TI estabelecer protocolos específicos em função dos utilizadores e proteger todos os dispositivos que utilizem no seu trabalho. Estas políticas de segurança mais “receptivas” devem, por sua vez, ajudar as empresas a ser mais ágeis, bem como continuar a proporcionar a melhor defesa possível face aos ataques externos.

Como conclui Eutimio Fernandez, “embora a maioria da informação e formação dos utilizadores ajude, não é suficiente para ultrapassar a cultura de complacência que o estudo revela. Enquanto os colaboradores continuarem a acreditar que a segurança de TI dificulta o seu trabalho ou enquanto não forem conscientes dos riscos que o seu comportamento implica, os responsáveis de TI devem estabelecer as suas políticas de segurança mais centradas no perfil de utilizadores para evitar a perda de dados corporativos e as suas consequências dispendiosas”.

Outras conclusões importantes:

  • Grandes empresas vs. PMEs: na região EMEAR, as grandes empresas (mais de 250 colaboradores) estão melhor protegidas do que as PMEs (menos de 50 colaboradores); 76% das grandes empresas tem uma política de segurança em vigor, comparativamente a apenas 39% de PMEs.
  • Complacência: colaboradores de grandes organizações (42%) tendem mais a esperar que as empresas os mantenham seguros, do que os colaboradores de PMEs (28%).
  • Passwords: a maioria dos inquiridos não segue as melhores práticas relativamente a passwords – 55% tem a mesma password para mais do que um site ou aplicação e três em cada cinco pessoas não muda a sua password regularmente
  • Conduta dos colaboradores: 52% dos inquiridos sugere que o comportamento dos colaboradores é a maior fonte de risco para a segurança dos dados das empresas. Isto foi apenas ultrapassado pelo cibercrime organizado (60%)
  • Conforto em casa: 54% das pessoas considera que os seus dados pessoais estão melhor protegidos em casa do que no trabalho, enquanto 25% é mais rigorosa relativamente à segurança dos dados em casa do que no trabalho.