É paradoxal que, embora as empresas percebam que aumentar a consciencialização acerca da segurança entre os funcionários tornaria a sua organização mais segura, de um modo geral não investem recursos suficientes para isso acontecer.
Com o objetivo de aumentar a segurança física e a segurança pessoal dos funcionários dentro de uma empresa, são muitos os casos em que os funcionários recebem uma formação obrigatória sobre segurança no trabalho, bem como proteção contra incêndios e saúde como parte de um processo de integração. No entanto, hoje em dia uma empresa pode não apenas ser desativada por um incêndio, mas também através de um ataque informático bem-sucedido, ou até de um funcionário irritado que compromete deliberadamente a segurança da instituição.
Outro caso muito comum é a falta de atenção/ formação dos funcionários, que podem clicar descuidadamente em anexos estranhos ou aceder a sites inseguros, com o objetivo, por exemplo, de fazer algumas consultas pessoais ou relacionadas com o trabalho. Portanto, é do interesse da entidade empregadora consciencializar todos os funcionários sobre a necessidade de um comportamento responsável na rede, apoiar a formação contínua e/ ou o e-learning, para além de monitorizar os direitos de acesso e as mudanças bruscas no comportamento de uso.
Mas “Dar a um novo funcionário 250 diretrizes para ler não é o caminho certo a seguir. Na verdade, poucos funcionários as leem realmente. Como tal, é bom educar os funcionários de forma proactiva e avaliar o que aprendem”, diz Michal Jankech, principal gestor de produto da ESET, descrevendo uma forma mais eficaz de aumentar a consciencialização sobre segurança entre os funcionários.
Pode ser difícil reconhecer um email suspeito
Ao dar formação aos funcionários sobre segurança de TI e criar diretivas, é importante perceber que os funcionários podem ter comportamentos que comprometem a segurança, intencionalmente ou não. Um mau comportamento no que respeita à segurança pode não ser intencional quando, por exemplo, um funcionário não consegue avaliar se um e-mail é suspeito ou desconhece a aparência de um link suspeito. Os hackers geralmente usam técnicas sofisticadas e têm know-how para fazer com que e-mails maliciosos pareçam confiáveis - por exemplo, podem incluir um link para um site falso do banco ou da empresa em que o funcionário trabalha. Neste caso, é necessário avaliar links, validações e certificados. A não ser que tenha a solução MailSentry que bloqueia por completo este tipo de emails…
Empresas podem ser legalmente responsáveis por conteúdo partilhado ilegalmente
Funcionários descontentes podem ser uma ameaça para a empresa
Leia o artigo completo do nosso parceiro de segurança ESET