Dizem que uma corrente é apenas tão forte quanto o seu elo mais fraco. Quando se trata de cibersegurança, o elo mais fraco numa empresa são as suas passwords.
Para os administradores de TI, a segurança dos dados está sempre no topo das preocupações, enquanto outros departamentos podem não experimentar o mesmo sentido de responsabilidade ou mesmo não saber como abordar a cibersegurança. Promover uma forte cultura de segurança no trabalho é fundamental, o que implica capacitar os colaboradores a fazerem a sua parte para manter os dados de uma empresa seguros e facilitar a sua manutenção – com as ferramentas certas.
Como estão as coisas nas empresas?
É útil perceber o quanto os colaboradores valorizam a cibersegurança. De acordo com um recente inquérito realizado pela Harris Poll, 59% dos trabalhadores norte-americanos afirmam estar mais preocupados com a salvaguarda das suas contas pessoais do que com as contas empresariais. Como é que isto afeta o seu comportamento? Um total de 30% dos inquiridos afirmaram reutilizar passwords empresariais, enquanto 22% confessaram reciclar passwords pessoais para credenciais da empresa.
As pessoas tendem a pensar que os seus hábitos de segurança são melhores do que são – 69% dos inquiridos deram a si próprios notas A e B no que diz respeito à proteção das suas contas online; no entanto, 65% reutilizam as suas passwords para múltiplas contas. E, em média, os colaboradores reutilizam passwords em 16 contas de trabalho. Isto pode parecer um grande obstáculo a ultrapassar, mas há boas notícias: 79% dos inquiridos assumem alguma responsabilidade pessoal pela segurança geral da empresa. Isto significa provavelmente que os colaboradores querem fazer a sua parte para proteger os dados da empresa, mas podem ser resistentes à mudança dos seus hábitos existentes ou não reconhecerem a importância do seu papel na defesa contra violações de segurança.
As soluções de segurança não são um one-stop shop
Até já se pode ter tentado implementar práticas de segurança a nível de toda uma empresa… em vão. Geralmente, isto deve-se a algumas razões. Os colaboradores evitam cumprir os requisitos da empresa para armazenamento de passwords. A pressão para completar uma tarefa no trabalho sobrepõe-se frequentemente à pressão para adotar soluções de segurança, especialmente quando é pedido aos colaboradores algo ‘para ontem’. A adoção de novos hábitos relacionados com passwords pode interromper fluxos de trabalho enraizados, mesmo que seja muito mais eficaz a longo prazo. Os colaboradores negligenciam as soluções de segurança relacionadas com passwords para poupar tempo e simplificar os seus dias de trabalho, confiando nos velhos hábitos.
Os colaboradores não sentem que fazem parte da solução. Os elementos da equipa podem assumir que determinado software utilizado por uma empresa é proteção suficiente contra hackers e violações. Soluções de cibersegurança – como deteção e resposta a ameaças endpoint, firewalls de rede, e avaliações de vulnerabilidade – podem fornecer proteção à rede e aos dispositivos de uma empresa, mas tudo o que um hacker precisa é das credenciais empresariais para obter acesso a dados sensíveis. Na verdade, passwords fracas e comprometidas são a principal causa de violações de dados relacionadas com hacking.
A solução de segurança não inclui manutenção e acompanhamento. Mesmo que os colaboradores sejam ensinados a proteger as passwords, também é necessário facilitar-lhes o cumprimento das melhores práticas. Embora muitos compreendam que certas formas de partilhar e armazenar passwords não são seguras, o hábito de armazenar credenciais em folhas de cálculo ou partilhá-las via correio eletrónico continua a ser generalizado.
Os tempos estão a mudar. Apesar de as empresas investirem em cibersegurança, durante os três primeiros trimestres de 2020, cerca de 3.000 infrações reveladas publicamente expuseram 36 mil milhões de registos. O panorama digital continua a introduzir novos riscos sem precedentes, e a implementação de um programa de segurança baseado no risco, com um gestor de passwords, é a única forma de garantir que estão a ser abordadas as prioridades de segurança que terão o maior impacto na proteção dos negócios. É por isso que os gestores de passwords são fundamentais – se as suas passwords não são seguras, nada o é.
Três maneiras fáceis de tornar os colaboradores parte da solução de segurança de uma empresa:
- Ajudá-los a compreenderem como o seu comportamento tem impacto na privacidade e segurança dos dados da empresa. Não fomos nós que inventámos a analogia do “elo mais fraco”, por isso sintam-se à vontade para a usar para salientar este ponto: quando se trata de cibersegurança, as ações de qualquer pessoa podem construir ou quebrar a eficácia, mesmo das melhores práticas. Cabe a todos na empresa manter as passwords empresariais seguras.
- Educá-los sobre as melhores práticas que ajudam a protegê-los e aos negócios. Estamos em 2021 – já não faz sentido utilizar post its ou folhas de cálculo para apontar as nossas passwords. Os gestores de passwords oferecem soluções de segurança abrangentes para eliminar estes maus hábitos desde o início. Quanto mais familiarizados os colaboradores estiverem com o que fazer e o que não fazer em matéria de segurança informática, mais provável é que o sigam.
- Dar-lhes as ferramentas que facilitam o cumprimento das melhores práticas sem perturbar a sua produtividade. O objetivo de desenvolver uma estratégia de cibersegurança com um gestor de passwords é criar e manter a cibersaúde dos negócios e do seu pessoal, parceiros, serviços e produtos.
Um gestor de passwords empresarial facilita a todos o acesso seguro e protegido à sua rede e a partilha de dados. Talvez ainda mais importante, deve alojar características que permitam aos colaboradores tornarem-se participantes ativos na segurança da empresa, ao mesmo tempo que dá aos administradores as ferramentas de que necessitam para compreender e melhorar a segurança das passwords. É imperativo que as empresas que queiram evitar ser a próxima manchete de uma violação de dados coloquem imediatamente em marcha um processo robusto para auditar, normalizar e monitorizar continuamente a segurança e a proteção das credenciais dentro das suas organizações.
