Enquanto os colaboradores tendem a seguir as regras de segurança determinadas pelas empresas, muitos executivos, que ocupam cargos mais altos, solicitam protocolos mais flexíveis de segurança móvel
As novas pesquisas divulgadas recentemente pela plataforma californiana MobileIron nos mostram que os C-levels são o grupo mais provável, dentro de uma organização, a solicitar protocolos mais flexíveis de segurança móvel.
Contudo, esse grupo também é o alvo mais provável de ataques cibernéticos maliciosos, devido à sua posição hierárquica nas empresas.
O estudo intitulado Trouble at the Top combinou pesquisas de centenas de tomadores de decisão ao longo de Fevereiro e Março de 2020. As respostas variam entre profissionais de TI e C-levels e se concentram em pólos influentes da Europa e Estados Unidos.
De acordo com o relatório:
“As descobertas desse estudo revelaram que empresas de todo o mundo estão enfrentando problemas nos escalões mais altos quando se trata de segurança em dispositivos móveis.
A falta das ferramentas certas para que os funcionários sejam produtivos enquanto se mantêm seguros é apontada como a principal agravante dos riscos. Por outro lado, o estudo também revelou que membros do nível executivo – C-suite, ou C-levels – tendem a ignorar os protocolos de segurança móvel de suas organizações, colocando as empresas em todo o mundo em risco significativo de violação de dados e destacando a necessidade de novas soluções que assegurem a proteção de todos”.
E os dados preocupam.
Mais da metade dos C-level ignoram diretrizes de cibersegurança
O estudo mostrou que mais de dois terços (68%) dos executivos C-level – que incluem cargos como CEO, CTO, CIO, CCO, CMO, dentre outros – disseram que a segurança estabelecida pelo departamento de TI compromete sua privacidade pessoal.
Mais de três em cada cinco (62%) disseram que a segurança limita a usabilidade do seu dispositivo. Quase três em cada cinco (58%) afirmaram que os processos de segurança de TI são muito complexos, e que, por isso, nem tentam entendê-la.
Além disso, mais de três em cada quatro (76%) executivos C-level admitiram ignorar um ou mais protocolos de segurança de sua organização no ano passado. Desses, 47% solicitaram acesso à rede por um dispositivo não autorizado, 45% ignoraram a autenticação multifator (MFA) e 37% solicitaram acesso a dados corporativos em um aplicativo não-autorizado.
Esses casos não são pontuais. Um em cada seis (16%) executivos ignorou um dos protocolos de segurança da organização pelo menos cinco vezes e 14% fez a mesma solicitação entre 4 a 5 vezes ao longo do ano passado.
Mas C-levels são os mais vulneráveis a ciberataques
Paralelamente, o estudo também revelou que executivos C-level são altamente vulneráveis a ataques cibernéticos.
Quase quatro em cada cinco (78%) dos tomadores de decisão do setor de TI entrevistados pelo estudo declararam que os C-levels são o grupo que mais corre risco de ser alvo de ataques de phishing, e 71% afirmaram que a probabilidade de que eles de fato caiam em tais golpes, se tornando vítima dos ataques, também é alta.
Quase três em cada quatro (72%) tomadores de decisão de TI também alegaram que os C-levels são o grupo mais propenso a esquecer ou precisar de ajuda para redefinir suas senhas.
Brian Foster, vice-presidente sênior de produtos da MobileIron, alerta:
"Essas descobertas são preocupantes, porque todas as isenções dos C-levels aos protocolos de segurança aumentam drasticamente o risco de violação de dados.
O acesso a dados corporativos em um dispositivo ou aplicativo pessoal retira os dados do ambiente protegido, deixando expostas informações comerciais críticas para que usuários mal-intencionados se beneficiem e provoquem danos inestimáveis às corporações.”
É como se alguém fechasse e trancasse uma porta e outra pessoa fosse lá e destrancasse, embora a mantivesse fechada: ao tentar flexibilizar os protocolos de segurança, colaboradores facilitam o acesso a dados e arquivos sensíveis, que potencialmente custarão milhões aos seus negócios, caso sejam vítimas de abordagens como o phishing e a engenharia social.
É necessário mudar o mindset também no que diz respeito à cibersegurança. Protocolos de prevenção e combate a ciberataques não podem ser vistos como opcionais pelas pessoas que tomam as principais decisões sobre seus negócios.
Como proteger as pessoas, para que elas protejam a empresa
Ataques cibernéticos mais sofisticados são direcionados principalmente a colaboradores, porque são o elo mais fraco da cadeia de segurança digital. Especialmente os de alto escalão.
Aliás, de acordo com dados da IBM, 24% das violações de segurança podem ser atribuídas a erros humanos.
Nesse sentido, as principais ameaças são a engenharia social e o phishing, que pode levar os colaboradores a entregar informações confidenciais da empresa. O hacker geralmente entra em contato com os funcionários por e-mail, fingindo ser uma fonte confiável, como um banco ou mesmo um colega de trabalho, e aí, como maioria dos colaboradores não tem conhecimento para se defender desses ataques, podem acabar escancarando as portas para um invasor fazer o estrago que desejar na empresa.
Fazer sessões de treinamento em cibersegurança regularmente e, sobretudo, continuamente – por exemplo, uma vez por ano ou uma vez a cada seis meses – garante que os colaboradores estejam cientes das ameaças em constante evolução e de como elas podem ser evitadas.
E isso precisa vir de cima para baixo. Por muito tempo, acreditou-se que a segurança cibernética era território exclusivo das equipes de TI, mas hoje, tratando-se de uma questão crítica para os negócios, toda a diretoria, executivos e conselhos de administração devem liderar pelo exemplo, promovendo e praticando uma mentalidade de segurança em primeiro lugar.
Nas redes da Compugraf, nossos especialistas em segurança atentam para os principais pontos de vulnerabilidade nas empresas, bem como as soluções para protegê-los.
Confira e compartilhe com seu time!