Cultura de segurança cibernética empresarial: vulnerabilidades humanas nas empresas

Penetrated security lock with a hole on computer circuit board

Este é o primeiro da série de três blogs sobre "criação de uma cultura de segurança cibernética".

Ao longo dos anos, as empresas investiram milhões na implementação de ferramentas e controles técnicos, e negligenciaria o lado mais fraco, o indivíduo. Economizando em treinamento de seus funcionários, pois não entenderam que são suscetíveis a manipulações e erros (mesmos podendo causar até 90% de todos incidentes cibernéticos). Em outras palavras, eles não criaram uma cultura de segurança cibernética.

As empresas e os responsáveis pela gestão da segurança da informação devem compreender que o fator humano e o uso da psicologia são tão ou mais importantes do que a tecnologia e os próprios processos.

O ser humano em sua vida diária tem que tomar decisões continuamente, no entanto, há uma taxa de erro inevitável durante esse processo. No campo tecnológico, isso se traduz em clicar em um link desconhecido ou enviar informações para um e-mail sem verificar sua origem.

Quando o ser humano toma decisões, ele deve processar muitas informações em meio a fatores que influenciam nesse processo. É quando, subconscientemente, eles processam parte dela e tomam uma decisão mais rápida. Esses atalhos mentais ajudam a nós humanos a resolver problemas e aprender novos conceitos. Isso torna os problemas menos complexos ao custo de ignorar as informações que estão sendo comunicadas ao cérebro, que podem se transformar em vieses cognitivos por não prestar atenção a todas as informações disponíveis.

Na segurança da informação, um viés cognitivo que leva a um erro na tomada de decisão pode causar danos significativos a uma organização. Por isso, se os vieses cognitivos não forem compreendidos e sua gestão não for integrada aos processos de treinamento e conscientização, o erro humano continuará a representar um risco significativo para a segurança da informação nas organizações.

Alguns dos vieses cognitivos mais relevantes para a segurança da informação são:

Afeto heurístico: tomar decisões com base rapidamente em uma resposta emocional.

Ancoragem: com base nas primeiras informações recebidas.

Disponibilidade heurística: fazer julgamentos sobre a probabilidade de um evento com base no primeiro fato que vem à mente.

Racionalidade limitada: tomar decisões "boas" com base no tempo que você tem para tomar a decisão.

Sobrecarga de escolha: demora na tomada de decisões ou evita tomá-las, tendo muitas opções.

Fadiga de decisão: tomar decisões mais fáceis ao tomar decisões sobre tarefas repetitivas, mas não necessariamente as melhores.

Esgotamento do ego: as pessoas têm um suprimento limitado de força de vontade e diminui com o uso.

Comportamento de rebanho: imitando as ações de um grupo maior.

Efeito de licenciamento: Se dá ao luxo depois de fazer algo de positivo.

Viés de otimismo: acreditar que você tem menos risco de experimentar um evento negativo em comparação com os outros.

Efeito de justificação excessiva: perda de motivação e interesse como resultado do recebimento de recompensas externas excessivas.

Polarização: O pensamento polarizado coloca as pessoas ou situações em categorias de "um ou outro", o que os levará a ver as coisas apenas nos extremos.

É importante conhecer esses vieses e entender como eles são explorados pelos invasores, a fim de estabelecer uma cultura de segurança cibernética que nos permita aprimorar nossa estratégia de segurança e, assim, mitigar os riscos cibernéticos aos quais as organizações estão expostas.

Não esqueçamos que as vulnerabilidades psicológicas se transformam em riscos para a organização, e muitas vezes surgem das situações que o funcionário se encontra, o que pode levar ao uso incorreto dos ativos de informação com os quais trabalha no dia a dia.

No próximo capítulo, aprenderemos como ocorre a exploração de vulnerabilidades humanas, para entender por que é tão importante construir uma cultura de segurança cibernética nas organizações.

Article

22/04/2024

Resolvendo o dilema financeiro do risco cibernético

Ver mais!

Hacker hacking the server in the dark web, Deep Web Top dark net

Article

15/03/2024

Descriptografando o ransomware Gazpromlock: um guia para proteger sua organização

Ver mais!

Cyber risk management study in the Latin American financial sector

09/10/2023

Gestão de Riscos Cibernéticos em Instituições Financeiras

Ver mais!

Hacker working with computer in dark room with digital interface around. Internet crime concept. Image with glitch effect.

Article

29/09/2023

Caso IFX Networks: como se preparar para um ataque de ransomware?

Ver mais!

Marsh.com Login

Cultura de segurança cibernética empresarial: vulnerabilidades humanas nas empresas

Quer saber como a Marsh pode ajudar seu negócio em relação a Riscos Cibernéticos?

Artigos Relacionados

Resolvendo o dilema financeiro do risco cibernético

Descriptografando o ransomware Gazpromlock: um guia para proteger sua organização

Gestão de Riscos Cibernéticos em Instituições Financeiras

Caso IFX Networks: como se preparar para um ataque de ransomware?