Alberto Jorge, especialista em cibersegurança e CEO da Trust Control, analisa o impacto do fator humano nas falhas de segurança da informação em uma entrevista exclusiva para o IT Section. Ele discute os principais riscos que as empresas enfrentam atualmente, enfatiza a importância da conscientização dos colaboradores e explora as tendências emergentes que moldarão o cenário de cibersegurança em 2024.
IT Section: O que você considera mais preocupante em relação ao impacto do fator humano nas falhas de segurança da informação e como isso se reflete no cenário atual das empresas?
Alberto Jorge: O principal impacto em relação à cibersegurança e aos riscos relacionados ao fator humano, é a falta de capacitação das pessoas, não só os times de segurança de cyber que precisam ser capacitados, naturalmente em um nível de capacitação mais profunda, mas todos os envolvidos no processo, desde a pessoa que cuida de vendas passando por toda a parte financeira, precisam ter a consciência de que muitas vezes o atacante está usando técnicas para enganar as pessoas, notadamente por telefone, e-mail, mensagens, que é a tal da engenharia social. E aí as pessoas acabam sendo grandes vulnerabilidades que permitem, de forma indevida, que os atacantes explorem essa vulnerabilidade e ganhem, por exemplo, acessos indevidos, credenciais, dentre outras coisas.
IT Section: Quais são os principais tipos de comportamentos de usuários que têm levado a incidentes de segurança nas empresas, segundo sua experiência?
Alberto Jorge: Um dos principais comportamentos que os usuários acabam adotando nas organizações, e isso foi bastante agravado pós-pandemia, é a utilização do dispositivo corporativo como se ele estivesse usando para uso pessoal, então ele acaba querendo instalar coisas que não deve, querendo acessar coisas que são totalmente fora do negócio.
IT Section: Com base no relatório do Fórum Econômico Mundial, como você acredita que as organizações podem melhorar a conscientização sobre os riscos associados ao erro humano?
Alberto Jorge: As organizações precisam investir em programas de conscientização, simulação de ataques, de phishing, de ataques relacionados ao uso da exploração da vulnerabilidade do fator humano e medir constantemente para conseguir, baseado nos indicadores, entender a evolução e continuar trabalhando continuamente nessa capacitação e geração da consciência.
IT Section: Na sua opinião, quais são as medidas mais eficazes que as empresas podem implementar para minimizar o risco de falhas de segurança devido ao fator humano?
Alberto Jorge: Naturalmente é importante que as empresas invistam em tecnologias de proteção para que não dependam apenas do fator humano atuando de uma forma consciente. Então, notadamente, tecnologias de proteção de e-mail, proteção de mensageria, proteção de malware, são efetivas, mas é importante também fazer o trabalho de conscientização, de constantemente criar programas de conscientização para as pessoas e testar, fazer simulações, entender quem pode estar caindo e, naturalmente, para esses alvos, que seriam os de risco mais alto, aplicar campanhas mais efetivas.
IT Section: Como a Trust Control tem ajudado seus clientes a abordar e mitigar esses riscos relacionados ao comportamento dos usuários?
Alberto Jorge: O que a Trust Control vem fazendo é aplicando esse conhecimento profundo de cibersegurança para educar o mercado. De uma forma geral, a gente tenta levar sempre esse recado para o mercado, para a conscientização. De uma forma mais específica, trabalhando com algumas empresas para se habilitar no trabalho de fazer campanhas dentro das empresas, medir o comportamento, medir o risco, e a partir de então direcionar os esforços de capacitação. Naturalmente, para não depender apenas do fato humano, as empresas implementam uma série de medidas de alternativas, são os controles de segurança, para que, a partir do comportamento humano de forma errada, de uma forma não convencional, termos dispositivos e possibilidades, para identificar e mitigar o possível erro relacionado ao fator humano. Isso acontece com frequência, por isso as empresas devem se preocupar bastante.
IT Section: Você acredita que a tecnologia pode substituir completamente a necessidade de conscientização e treinamento sobre segurança da informação? Por quê?
Alberto Jorge: Eu não acredito que apenas a tecnologia vai substituir ou zerar o risco para a gente falar com o fator humano. Eu concordo que o risco diminui a partir do momento que a gente usa, principalmente, a Inteligência Artificial para entender o comportamento humano e a partir disso conseguir entender melhor de que forma eu vou conseguir tratar o problema. Eu creio que vai diminuir muito. O fator humano acaba deixando de ser um grande risco, porque acaba que a tecnologia vai minimizar. Mas eu sempre falo também que não existe “bala de prata”. Eu creio que não vai ter 100% nunca em tecnologia. E se a gente trabalhar em frentes paralelas, tanto na tecnologia quanto na conscientização, a gente acaba tendo o melhor cenário.
IT Section: Quais tendências você vê emergindo em 2024 que podem impactar a segurança da informação e o papel do fator humano nesse contexto?
Alberto Jorge: É uma tendência, na verdade é uma tendência, mas já é uma realidade, a utilização da Inteligência Artificial para potencializar o mercado de saúde e segurança, principalmente por conta da falta de profissionais capacitados e também em razão da velocidade de transformação desse mercado. Com certeza o uso da AI acaba sendo um aliado para entender e ajudar nas proteções, mas também conseguir ser um copiloto, nos ajudando com insights, com recomendações e muitas vezes em linguagem natural a gente vai conseguir conversar com o copiloto. Através dessas informações, ele geram insights, que nos geram ações que, a partir de um entendimento, de uma ação de correção, de mitigação, deixam cada vez mais automatizadas. Essa é uma grande tendência e, na verdade, é uma realidade, mas ainda com uma grande tendência.
