As manchetes sobre segurança cibernética continuam com violações e violações de alto perfil. Na verdade, 2025 já assistiu a alguns dos eventos mais prejudiciais alguma vez registados, com organizações como a M&S e a Co-Op a sofrer perturbações graves e dispendiosas.
Se o custo de 100 milhões de libras para a M&S não fosse suficientemente mau, o incidente na JLR eclipsou-o. É considerado o incidente cibernético mais caro da história do Reino Unido, com um impacto económico global de £1,9 mil milhões.
Estes e outros incidentes revelam o paradoxo mais duradouro da cibersegurança: os seres humanos são ao mesmo tempo os elos mais fortes e mais fracos da cadeia. A M&S declarou publicamente que a sua violação foi resultado de “erro humano”. Embora o júri ainda não tenha decidido sobre a JLR, a especulação aponta para um compromisso de credenciais, uma tática clássica de engenharia social.
Ao mesmo tempo, os colaboradores são a base de uma resiliência cibernética eficaz, com uma força de trabalho empenhada e bem informada, capaz de detetar e impedir atividades suspeitas muito antes de estas se tornarem um incidente em grande escala.
Um problema ruim está piorando
O problema para os gestores de segurança é que a engenharia social ainda é a forma mais eficaz de contornar controlos técnicos rigorosos. O problema está a tornar-se mais grave à medida que os agentes de ameaças utilizam cada vez mais a IA para realizar ataques de phishing credíveis, personalizados e escaláveis.
Embora muitos incidentes como este não recebam muita atenção do público, no ano passado uma tentativa de fraude na WPP utilizou vídeo gerado por IA e clonagem de voz para se passar por executivos seniores numa reunião aprofundada altamente credível.
Infelizmente, os perigos não param por aí. Mesmo com fortes controles técnicos e alertando os funcionários sobre táticas de engenharia social, o risco também vem do acesso dos funcionários a ferramentas, dispositivos ou processos que estão fora da governança formal de TI.
Conhecido como “Shadow IT”, esse comportamento geralmente vem de boas intenções, com pessoas tentando trabalhar mais rápido ou colaborar de forma mais eficaz quando as ferramentas oficiais não atendem às suas necessidades e às alternativas que encontraram. Como resultado, os pontos cegos de segurança e os riscos de governação de dados continuam a representar grandes desafios.
A lista de desafios continua, com hábitos quotidianos como a reutilização de credenciais, o armazenamento de ficheiros em locais não aprovados, a partilha de dados através de aplicações de consumo ou a utilização de redes Wi-Fi públicas inseguras que têm o potencial de minar a segurança de uma organização.
A necessidade de uma mudança cultural
Então, onde isso nos deixa? Reduzir o risco humano não se trata apenas de eliminar erros, trata-se de criar um ambiente onde o comportamento seguro seja o padrão. Claramente, esse tipo de treinamento em caixa, onde as pessoas clicam passivamente em módulos genéricos, por exemplo, não é adequado ao seu propósito.
Em vez disso, o que é necessário é uma mudança de mentalidade e de cultura, onde os funcionários entendam não apenas o que não fazer, mas por que razão as suas decisões diárias, em que ferramentas confiam, como lidam com pedidos inesperados e quando optam por abrandar e verificar algo, em vez de agir por instinto, são realmente importantes.
Do ponto de vista da liderança, é muito melhor promover uma cultura onde as pessoas se sintam confortáveis em denunciar atividades suspeitas sem medo de serem culpadas, em vez de um ambiente onde assumir riscos pareça ser a opção mais fácil.
Impulsionadas pela frustração de que o treinamento de conscientização não seja suficiente, muitas organizações implementaram camadas de ferramentas de segurança para preencher lacunas de segurança centradas no ser humano. Embora ninguém argumente que as ferramentas são essenciais, elas só podem ir até certo ponto e, sem uma cultura forte, o seu impacto é limitado.
Cultura forte
Mas como é essa “cultura forte”? Considere este cenário: um funcionário recebe uma solicitação de e-mail inesperada que parece normal, mas parece um pouco “estranha”. Talvez seja um fornecedor solicitando detalhes da conta ou um colega solicitando acesso a documentos de que normalmente não precisa.
Em vez de agir rapidamente para evitar atrasar o trabalho, o trabalhador faz uma pausa quando a desaceleração parece incomum porque a cultura se normalizou.
Eles também sabem exatamente como denunciar ou verificar porque os processos são familiares e simples, sem qualquer confusão sobre quem contactar ou quem será culpado por dar um alarme falso.
Uma rápida verificação com a equipe de segurança confirma que a solicitação não é legítima. A equipe vê o relatório como uma informação valiosa e não como um incômodo.
A liderança reconhece as ações do funcionário e reforça que decisões acertadas e relatórios antecipados são reconhecidos e valorizados. O evento torna-se um exemplo de aprendizagem para toda a organização, partilhado como melhores práticas para ajudar outros a reconhecer padrões semelhantes no futuro.
O ponto básico é que isso deveria acontecer com muito mais frequência. Acerte a abordagem e organizações de todos os tamanhos terão muito mais probabilidade de permanecer no caminho certo contra ataques cibernéticos que têm o potencial de se transformar em ameaças existenciais.
Apresentamos a melhor VPN do mercado.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
