As empresas continuam buscando tecnologia para reduzir custos, atrair força de trabalho, reter funcionários e aprimorar sua agilidade, e embora isso seja bom para os negócios traz novos desafios de segurança: dados críticos estão em todos os lugares, espalhados em nuvens privadas e públicas, mídias removíveis, dispositivos móveis e perigosamente misturados com dados pessoais dos funcionários. Assim, muitos profissionais de segurança não conseguem ver com clareza onde estão os dados e como estão organizados, destaca o documento “O Estado da Cibersegurança em 2017“, publicado agora pela Forcepoint. Sem visibilidade, as vulnerabilidades produzidas pelas pessoas desestabilizam até as redes mais seguras e reduzem muito a eficácia dos investimentos em cibersegurança. Não importa como os ataques se originam, em última instância causam mais danos naqueles pontos em que as pessoas interagem com dados críticos de negócios e propriedade intelectual, seja por meio de atos acidentais ou mal-intencionados.
William Rodrigues, engenheiro de vendas da Forcepoint, comenta: “Por esse motivo, a abordagem de Segurança da Informação em que o mercado confia há anos, com foco na proteção da infraestrutura de tecnologia, se tornou ineficaz. Ao mudar o foco para uma constante em que as pessoas interagem com dados críticos de negócios e propriedade intelectual, os profissionais de segurança terão mais capacidade para administrar o risco que suas organizações enfrentam”, analisa.
De acordo com estimativas do Gartner, os gastos mundiais em segurança da informação devem chegar a US$ 90 bilhões em 2017, um aumento de 7,6% em relação a 2016, e superar US$ 113 bilhões em 2020. A Forcepoint acha que em vez de gastar US$ 113 bilhões em tecnologias projetadas para proteger um perímetro rompido, “devemos analisar as pessoas e proteger contra os comportamentos que sabemos que podem resultar em perda de dados críticos e propriedade intelectual”.
Em seu estudo O Ponto Humano: a intersecção de Comportamentos, Intenção e Dados Críticos de Negócios, feito com 1.252 profissionais de cibersegurança de todo o mundo e publicado em fevereiro deste ano, quase 80% dos profissionais de cibersegurança afirmam que as empresas devem entender a intenção e o comportamento das pessoas quando elas interagem com dados críticos e propriedade intelectual. Entretanto, menos de um terço é capaz de fazer isso de maneira eficiente.
Os entrevistados foram convidados a listar todos os diferentes dispositivos e mídias de armazenamento que suas organizações usam para acessar ou armazenar dados críticos. A nuvem privada foi mencionada quase metade do tempo (49%), seguido de perto por dispositivos BYOD (28%), mídia removível (25%) e nuvem pública (21%) – apoiando claramente a noção de que dados críticos de negócios são muito estratificados para serem protegidos de forma eficiente.
As rotas para o vazamento de dados e a exposição potencial se ampliam à medida que mais organizações permitem o acesso a dados críticos de negócios, seja através de BYOD ou políticas corporativas que permitem a utilização de mídias sociais. Este é um fator importante que mantém acordados os profissionais de cibersegurança: 46% dos entrevistados afirmaram que eles estão muito ou extremamente preocupados com a junção de aplicativos pessoais e comerciais em dispositivos móveis, como smartphones. Apenas 7% têm uma visibilidade extremamente clara de como os funcionários utilizam dados críticos de negócios em dispositivos próprios ou corporativos – serviços autorizados pela empresa (por ex., Microsoft Exchange) e serviços ao consumidor (por ex., Google Drive, Gmail).
Há muitos pontos em que as pessoas interagem com negócios, dados e conteúdo críticos – incluindo e-mail, redes sociais, aplicativos de nuvem de terceiros e muito mais. Os participantes do estudo foram convidados a classificar quais pontos de interação podem criar o maior risco para uma organização. O email, de longe, foi avaliado como o maior risco (46%), porém o armazenamento em nuvem também foi considerado (41%) como uma das três principais áreas de risco (celular foi outro citado com 40%).
Mas existem tendências da indústria que apontam para a flexibilidade no tratamento de dados comerciais críticos. Por exemplo, apenas 9% de profissionais das organizações de Serviços Financeiros estão usando serviços em nuvem pública para dados críticos de negócios em comparação com entretenimento (45%), tecnologia (36%) e hotelaria (35%). Além de “onde” acreditam residir os riscos, os pesquisados também responderam quais as vulnerabilidades associadas aos comportamentos dos usuários – variando de acidental a criminoso. O malware (causado por phishing, brechas, contaminação BYOD, etc.) e os comportamentos inadvertidos do usuário empataram com 30% nas respostas.
“Executar uma estratégia de cibersegurança fundamentada em pessoas é claramente um processo, em vez de um ponto único”, afirma Rodrigues, que acrescenta “isso, conforme o mercado inicia a adoção de abordagens preventivas que se concentram menos no perímetro e mais em proteger os dados críticos de negócios em todo o ciclo de vida de criação, uso, disseminação e exclusão, onde quer que eles residam, na rede local, em mobilidade ou na nuvem”.
Segundo a Forcepoint, um programa de cibersegurança para ter progresso sustentável somente é viável através de uma associação de tecnologias, políticas, mudanças culturais e sistemas inteligentes, que devem ter a capacidade para observar comportamentos e decifrar intenções para de proteger proativamente os usuários, dados críticos e, mais importante, o ponto de interação. Esses sistemas incluem produtos que podem ser integrados facilmente para fornecer uma visão abrangente do comportamento de risco e mitigá-lo muito antes que se torne uma violação.
