Toda reflexão e análise de temas relevantes sobre Segurança da Informação devem abordar os componentes fundamentais de redes de informação – pessoas, procedimentos, políticas, hardware, software, dados e redes – sob a perspectiva de proteger a confidencialidade, disponibilidade, integridade, autenticidade e legalidade envolvidas.

Por mais que se reforcem os controles de segurança e medidas de proteção que compreendam o grupo de Recursos de Tecnologia da Informação e Comunicação – RTICS (hardware, software, dados e redes), os incidentes tendem a ocorrer pela conhecida fraqueza humana, presente em até 95% dos casos, segundo estudo elaborado pela IBM. As falhas mais comuns são: configuração equivocada do sistema; gestão inadequada de correções (patches); nomes de usuário e senha padrões, ou, esta última de fácil adivinhação e perda de laptops e outros dispositivos móveis.

O componente humano pode sofrer ameaças digitais e contribuir para a ocorrência de crimes ou atos ilegais, por diversos fatores, dentre eles: não estar acostumado com a internet ou ser um usuário recente; ser uma pessoa ingênua; ter baixa capacidade de percepção, seja por alguma condição física ou psicológica ou desespero, ganância, carência ou outro distúrbio emocional.

Dado que a falha do componente humano é previsível, deve-se reforçar controles de segurança ativos nos dispositivos utilizados para mitigar a exposição a vulnerabilidades, denominados de Endpoint Detection and Response (EDR), cuja tradução é Detecção e Resposta a Incidentes nos Terminais de Acesso, que compreendem varredura em tempo real de vírus, scripts maliciosos, endereços de internet inseguros e potenciais conteúdos falsos em redes sociais.

Ter procedimentos e políticas ligadas aos sistemas de informação em conformidade com o Direito Digital, atualizados e bem definidos é pré-requisito para execução das tarefas de organização e produção das empresas, mas, podem não surtir o efeito desejado se abordados isoladamente.

Tomando as possíveis ocorrências acima como desafios a serem superados, temos que a instrução correta e orientação adequada da utilização dos RTICS são essenciais para diminuir o número de incidentes e preservar os ativos intangíveis da empresa e a continuidade de negócios, haja vista estarem diretamente ligadas ao comportamento do usuário.

A falsa impressão de que os cuidados com o comportamento terão somente impacto na utilização com fins particulares dos RTICS não se sustenta, uma vez que tarefas corporativas são executadas essencialmente por pessoas e, a maioria dessas contém aspectos similares às particulares. Portanto, direcionar os cuidados e preocupações com a utilização dos RTICS pelas pessoas é proteger todo o sistema.

A dependência cada vez maior das redes de informação reflete diretamente no aumento do número de incidentes reportados de forma repetida ao longo dos anos pelas empresas especializadas, merecendo destaque o registro dos sequestros de dados (ransomware). É importante destacar que a conscientização deve ter como premissa a existência inevitável de vulnerabilidades, e por isso, as orientações não podem limitar-se a eventos ou práticas isoladas, devendo ser executadas de modo abrangente. Esse trabalho precisa objetivar a detecção tanto das vulnerabilidades não identificadas pelos usuários como daquelas que geraram dúvidas, e que resultaram em escolhas erradas por parte desses usuários, para que as medidas de prevenção e orientação fossem aplicadas caso a caso.

Para terem sucesso, é indispensável que as campanhas de conscientização estejam em sintonia com o cenário tecnológico atual, já prevendo as próximas possíveis ameaças, traçando pontos comuns em todas elas e o elemento de engenharia social que pode ser parte a porta de entrada de um ataque massivo.

Devemos lembrar que o cenário econômico que passamos não é dos mais otimistas, então, a ocorrência de qualquer prejuízo decorrente de incidente de Segurança da Informação pode ser ainda mais sensível.

Então, recomenda-se programar campanhas de conscientização como prioridade para os setores de Segurança da Informação, Recursos Humanos, Compliance, Marketing, Financeiro e Jurídico, cuja preocupação com produtividade será complementada pela sensível diminuição de perdas, gerando maior retorno de investimentos para a empresa.