As práticas simples de segurança cibernética nem sempre são uma aposta certa. Mas, como observa um painel do ACC, não é porque eles estão desatualizados. Em vez disso, é porque eles exigem um pouco mais de consideração e supervisão para funcionar com eficácia - especialmente no ambiente remoto de hoje.

Embora as ameaças cibernéticas tenham evoluído com uma velocidade vertiginosa, as práticas recomendadas de segurança cibernética permaneceram basicamente as mesmas. O fato de que tais ataques estão pousando, no entanto, pode não falar sobre a ineficácia dessas práticas, mas sim a realidade de que as melhores práticas muitas vezes não estão sendo seguidas de forma adequada.

Mas seguir a higiene comum da segurança cibernética nem sempre é simples ou claro, especialmente no ambiente remoto de hoje. Durante o painel “Treinamento em segurança cibernética de funcionários” na Cúpula de segurança cibernética virtual da Association of Corporate Counsel Foundation, profissionais jurídicos e cibernéticos discutiram as nuances que devem ser consideradas ao procurar seguir os melhores conselhos sobre segurança cibernética disponíveis hoje. Basta dizer que não é apenas um exercício de “marcar a caixa”.

MFA funciona - até que não funcione

Há um motivo pelo qual a autenticação multifator tem sido um grito de guerra para os especialistas em segurança cibernética há anos: ela é eficaz na prevenção de ataques baseados em phishing.

“Eu diria que 95% das investigações de ransomware que vemos, descobrimos que o ator da ameaça aproveitou apenas um ID de usuário ou credencial e, na maioria das vezes, uma senha fraca, e o cliente não tinha autenticação multifator que provavelmente poderia ter evitou o ataque ”, disse Billy Evans, diretor sênior da empresa cibernética Crypsis.

Mas, como muitas ferramentas baseadas em tecnologia, a autenticação multifator só é eficaz se usada corretamente. Jena Valdetero, acionista do escritório de advocacia Greenberg Traurig. relembrou uma violação em que sua equipe trabalhou em que um funcionário que usava autenticação multifator ainda teve suas credenciais roubadas. A razão? Eles não pensaram duas vezes sobre um pedido de aprovação de login. “[O] funcionário acabou de receber a notificação push e clicou em OK instintivamente, [e] não relatou.”

Embora Valdetero tenha dito que a situação era “um caso extremo”, ela observou que ainda é “um exemplo de como é desafiador quando você está lidando com humanos. Os humanos tentam pegar atalhos, eles querem o fator de conveniência e nem sempre estão avaliando o risco. ”

Com certeza, muitas organizações ainda podem precisar ser convencidas de que a autenticação multifator vale todo o trabalho. Valdetero disse que “em um número surpreendente de casos, você obtém resistência [à autenticação multifator], mesmo após a ocorrência de um incidente. [Há aqueles] que dizem: 'Oh, isso vai ser muito inconveniente para as pessoas.' ”

Treinamento para o povo

O treinamento de segurança cibernética é sempre fundamental para mitigar o risco de ataques de phishing comuns. Mas com funcionários sempre ocupados, pode haver muito treinamento - afinal, há um limite para as pessoas que podem se lembrar. Ainda assim, adaptar o treinamento a grupos específicos dentro da organização pode ser a chave para garantir que as lições certas sejam aplicadas.

O treinamento para detectar e-mails de phishing, por exemplo, pode obter melhores resultados se direcionado para aqueles que não estão tão acostumados com a ameaça como os outros. “A tecnologia, especialmente agora, é uma coisa geracional. … Todos nós podemos olhar para o mesmo e-mail e alguns de nós podemos imediatamente dizer que algo parece suspeito, e algumas pessoas podem olhar para o mesmo e-mail e não perceber as pistas ”, disse Amy Yeung, conselheira geral e diretora de privacidade de dados empresa de soluções Lotame.

Ajustar o treinamento cibernético para departamentos específicos de uma organização também pode ser uma jogada inteligente, dados os diversos riscos cibernéticos que certos funcionários enfrentam. Por exemplo, Valdetero observou que o RH deve ser treinado na proteção de informações fiscais confidenciais ao enviar W-2s, enquanto aqueles em "contabilidade ou contas a pagar [devem] ser treinados especificamente no tipo de fraude eletrônica".

Ela acrescenta que é útil abordar o treinamento cibernético como uma forma de dar às pessoas “grades de proteção” simples para operar.

Fique “por dentro” do escritório do seu funcionário

A mudança repentina para o trabalho remoto criou uma grande quantidade de ameaças cibernéticas. E alguns deles nem mesmo vêm do reino digital. Yeung, por exemplo, explicou que é responsabilidade das organizações pedir aos funcionários que trabalham em casa para "certificar-se de ter um armário ou escritório trancado para que documentos confidenciais sejam guardados".

Claro, muitos arquivos confidenciais são acessados nos computadores pessoais dos funcionários. Mas isso também exige alguma consideração do espaço físico do funcionário. Yeung disse que o ambiente de hoje exige que se certifique “de que seu laptop esteja configurado automaticamente, independentemente de a empresa fazer isso em seu nome ou não, mas que seu laptop seja bloqueado automaticamente após um curto período de tempo”. Ela acrescenta que garantir o cumprimento dessas diretrizes pode exigir que departamentos como o RH acompanhem diretamente os funcionários.

Fonte: https://www.law.com/legaltechnews/2021/03/02/its-not-that-simple-3-caveats-to-legals-cyber-best-practices/