Em primeiro lugar, o estudo demonstra que o comportamento dos trabalhadores constitui um elo fraco na cadeia de cibersegurança, tornando-se numa fonte de risco crescente e estando mais ligado à complacência e desconhecimento do que à malevolência. Os colaboradores esperam que os mecanismos de segurança implementados pela empresa tratem de tudo por eles e não estão conscientes do verdadeiro perigo das ameaças.
Em segundo lugar, demonstra que um crescente número de colaboradores creem que as políticas de segurança estão a atrasar a inovação e a colaboração, complicando o bom desempenho das suas tarefas, o que faz com que alguns decidam ignorar essas políticas.
Hacktivismo e o comportamento dos utilizadores são principais riscos
Os colaboradores identificaram o seu próprio comportamento como o segundo maior risco para a segurança dos dados corporativos (52% dos inquiridos), ultrapassado apenas pela atividade dos hackers (60%). Outros dados indicam que todos os colaboradores inquiridos utilizam a rede corporativa para realizar transações pessoais, como a gestão das suas contas bancárias (73%), compras online (61%) e redes sociais (48%).
Cultura de complacência e desconhecimento
Segundo o estudo, a maior ameaça interna para as organizações é consequência de um sentimento de complacência dos colaboradores, que assumem que a empresa protege automaticamente as suas atividades online. Assim, 35% das pessoas espera que os mecanismos de segurança implementados as protejam de qualquer risco, enquanto menos de metade (42%) acredita que é da sua responsabilidade manter os dados pessoais e da empresa seguros. Da mesma forma, 62% dos inquiridos parece estar distante da verdadeira extensão das ameaças, considerando que o seu comportamento tem um impacto baixo ou moderado na segurança.
As políticas de segurança também não têm o rigor necessário. Enquanto 59% dos colaboradores acredita que a sua empresa tem uma política de segurança, 23% não sabe se existe efetivamente uma política ou não.
Quase metade dos inquiridos (46%) consideram que a política não afecta o seu trabalho e 38% afirmaram que apenas notaram que a política existe quando foram impedidos de fazer algo pelos mecanismos de segurança. Como resultado, 43% dos colaboradores admitiram ter um nível de adesão baixo ou moderado às políticas implementadas e que têm mais cuidado com a segurança em casa (25%) do que no trabalho (16%).
Para além disso, uns surpreendentes 69% não estão conscientes das ameaças de segurança mais conhecidas, como o Heartbleed. Assim, um terço dos inquiridos (32%) não alteraram a sua atitude após uma falha de segurança e 55% admitem não ter uma password diferente para cada site e aplicação.
Atraso para a inovação e colaboração
Os colaboradores da região EMEAR consideram, cada vez mais, a segurança de TI uma barreira em vez de facilitadora do negócio. O estudo revela que uma em cada seis pessoas (17%) acredita que a segurança de TI está a atrasar a inovação complicando a colaboração, enquanto 14% acredita que a segurança dificulta o seu trabalho. Por fim, um em cada seis (17%) inquiridos considera que perder uma oportunidade de negócio tem um custo maior para uma empresa do que uma falha de segurança.
Desta forma, os resultados indicam que as estratégias de segurança de TI implementadas atualmente não correspondem à forma como os trabalhadores querem desempenhar as suas tarefas. “Os colaboradores acreditam que as políticas atuais de segurança devem mudar para que as empresas possam impulsionar a inovação e facilitar a colaboração, reforçando simultaneamente a segurança da rede corporativa, os dipositivos e a Cloud contra ataques externos”, continua o responsável da Cisco.
Assim, o equilíbrio entre facilidade de operação e proteção requer uma nova abordagem para a segurança de TI, “capaz de adaptar-se ao comportamento dos utilizadores e com base na visibilidade, no foco nas ameaças e na simplicidade na altura de gerir diferentes soluções de forma unificada”.
Políticas centradas nos utilizadores
Como parte do estudo, a Cisco identificou quatro perfis diferentes de comportamento face à segurança de TI na região EMEAR, que podem servir como base para estabelecer estratégias centradas no comportamento dos trabalhadores. Cada um destes perfis representa um nível de risco distinto para a segurança dos dados corporativos e requer uma abordagem específica. Os quatro perfis são:
- Conscientes das ameaças: colaboradores que são conscientes dos riscos de segurança e tentam manter-se seguros online de forma rigorosa.
- Bem intencionados: colaboradores que cumprem as políticas de segurança mas não o fazem de forma constante.
- Complacentes: colaboradores que esperam que a empresa se ocupe completamente da rede de segurança e não assumem nenhuma responsabilidade pessoal para proteger os dados corporativos.
- Apáticos e cépticos: colaboradores que acreditam que as ameaças da cibersegurança estão sobrevalorizadas e que os mecanismos implementados inibem o seu rendimento, ignorando as políticas como consequência.
A criação de políticas centradas nos utilizadores implica que as organizações adoptem uma estratégia de segurança automatizada e gerida centralmente, em vez de se apoiar nos procedimentos tradicionais pontuais. Esta tendência, impulsionada pela mobilidade empresarial e pela maior procura de processos colaborativos e de acesso à informação, permitirá aos departamentos de TI estabelecer protocolos específicos em função dos utilizadores e proteger todos os dispositivos que utilizem no seu trabalho. Estas políticas de segurança mais “receptivas” devem, por sua vez, ajudar as empresas a ser mais ágeis, bem como continuar a proporcionar a melhor defesa possível face aos ataques externos.
Comentários recentes