É necessário entender o comportamento e intenção das pessoas que interagem com dados críticos

Com metas de aumentar a eficiência, as empresas estão em constante busca por novas tecnologias para reduzir custos, atrair uma força de trabalho jovem, melhorar a retenção dos funcionários e aprimorar a agilidade organizacional. Embora seja boa para os negócios, essa habilitação apresenta novos desafios de segurança. Os dados críticos estão emtodos os lugares, estratificados em nuvens privadas e públicas, em mídias removíveis e dispositivos móveis, e perigosamente misturados com dados pessoais nos dispositivos dos funcionários.

E, no entanto, muitos profissionais de segurança não conseguem ver como e onde estão os dados, destaca a análise O Estado da Cibersegurança em 2017, realizado pela Forcepoint. Sem essa visibilidade, as vulnerabilidades centradas em pessoas desestabilizam até as redes mais seguras e reduzem muito a eficácia dos investimentos em cibersegurança. Não importa como os ataques se originam, em última instância infligem mais danos nos pontos em que as pessoas interagem com dados críticos de negócios e propriedade intelectual, seja por meio de atos acidentais ou mal-intencionados.

Por esse motivo, a abordagem de Segurança da Informação em que o mercado confia há anos, com foco na proteção da infraestrutura de tecnologia, se tornou ineficaz. Ao mudar o foco para a constante, onde as pessoas interagem com dados críticos de negócios e propriedade intelectual,os profissionais de segurança terão mais capacidade para administrar o risco que suas organizações enfrentam.

De acordo com estimativas do Gartner, os gastos mundiais em segurança da informação devem chegar a US$ 90 bilhões em 2017, um aumento de 7,6% em relação a 2016, e superar US$ 113 bilhões em 2020. Para a Forcepoint, em vez de gastar US$ 113 bilhões em tecnologias projetadas para proteger um perímetro rompido, devemos analisar as pessoas e proteger contra os comportamentos que sabemos que podem resultar em perda de dados críticos e propriedade intelectual.

Em estudo global da Forcepoint O Ponto Humano: a intersecção de Comportamentos, Intenção e Dados Críticos de Negócios com 1.252 profissionais de cibersegurança, incluindo da América Latina e com várias verticais da indústria, quase 80% dos profissionais de cibersegurança afirmam que as empresas devem entender a intenção e o comportamento das pessoas quando elas interagem com dados críticos e propriedade intelectual. Entretanto, menos de um terço é capaz de fazer isso de maneira eficiente.

Além disso, ampliar o uso de dispositivos móveis e serviços também estende o perímetro da rede. Os profissionais de TI foram convidados a listar todos os diferentes dispositivos e mídias de armazenamento que suas organizações usam para acessar ou armazenar dados críticos. A nuvem privada foi mencionada quase metade do tempo (49%), seguido de perto por dispositivos BYOD (28%), mídia removível (25%) e nuvem pública (21%) - apoiando claramente a noção de que dados críticos de negócios são muito estratificados para serem protegidos de forma eficiente.

As rotas para o vazamento de dados e a exposição potencial se ampliam à medida que mais organizações permitem o acesso a dados críticos de negócios, seja através de BYOD ou políticas corporativas que permitem a utilização de mídias sociais. Este é um fator importante que mantém acordados os profissionais de cibersegurança: 46% dos entrevistados afirmaram que eles estão muito ou extremamente preocupados com a junção de aplicativos pessoais e comerciais em dispositivos móveis, como smartphones. Apenas 7% têm uma visibilidade extremamente clara de como os funcionários utilizam dados críticos de negócios em dispositivos próprios ou corporativos - serviços autorizados pela empresa (por ex., Microsoft Exchange) e serviços ao consumidor (por ex., Google Drive, Gmail).

Há muitos pontos em que as pessoas interagem com negócios, dados e conteúdo críticos - incluindo e-mail, redes sociais, aplicativos de nuvem de terceiros e muito mais. Os participantes do estudo foram convidados a classificar quais pontos de interação podem criar o maior risco para uma organização. O email, de longe, foi avaliado como o maior risco (46%), porém o armazenamento em nuvem também foi considerado (41%) como uma das três principais áreas de risco (celular foi outro citado com 40%).

Mas existem tendências da indústria que apontam para a flexibilidade no tratamento de dados comerciais críticos. Por exemplo, apenas 9% de profissionais das organizações de Serviços Financeiros estão usando serviços em nuvem pública para dados críticos de negócios em comparação com entretenimento (45%), tecnologia (36%) e hotelaria (35%). Além de "onde" acreditam residir os riscos, os pesquisados também responderam quais as vulnerabilidades associadas aos comportamentos dos usuários - variando de acidental a criminoso. O malware (causado por phishing, brechas, contaminação BYOD, etc.) e os comportamentos inadvertidos do usuário empataram com 30% nas respostas.

Executar uma estratégia de cibersegurança fundamentada em pessoas é claramente um processo, em vez de um ponto único, conforme o mercado inicia a adoção de abordagens preventivas que se concentram menos no perímetro e mais em proteger os dados críticos de negócios em todo o ciclo de vida de criação, uso, disseminação e exclusão, onde quer que eles residam, na rede local, em mobilidade ou na nuvem.
Segundo a Forcepoint, um programa de cibersegurança para ter progresso sustentável somente é viável através de uma associação de tecnologias, políticas, mudanças culturais e sistemas inteligentes, que devem ter a capacidade para observar comportamentos e decifrar intenções para de proteger proativamente os usuários, dados críticos e, mais importante, o ponto de interação. Esses sistemas incluem produtos que podem ser integrados facilmente para fornecer uma visão abrangente do comportamento de risco e mitigá-lo muito antes que se torne uma violação.

(*) Engenheiro Sênio de Vendas da Forcepoint