50% dos CISO adoptarão práticas centradas no comportamento humano
Atualmente, o fator humano continua a desempenhar um papel importante na maioria dos incidentes de cibersegurança. O erro humano está envolvido em 74% das falhas de segurança de dados. É essencial mudar para a conceção de controlos centrados no ser humano que promovam e facilitem a utilização de práticas responsáveis de cibersegurança entre os funcionários.
A Gartner prevê que, até 2027, 50% dos directores de segurança da informação (CISO) adoptarão práticas de conceção centradas no ser humano nos seus programas de cibersegurança para minimizar a fricção operacional e maximizar a adoção de controlos entre os funcionários. A pesquisa da empresa mostra que mais de 90% dos funcionários que admitiram ter realizado uma série de acções inseguras sabiam que iriam aumentar o risco para a sua organização, mas fizeram-no na mesma. A conceção de controlos de segurança centrados nos indivíduos e não na tecnologia ou nas ameaças reconhece que os funcionários desempenham um papel crucial na cibersegurança e visa reduzir a probabilidade de comportamentos de risco.
Como estabelecer uma estratégia de segurança baseada na identidade e centrada no ser humano
Ao implementar medidas de segurança baseadas na identidade, as organizações melhoram proactivamente a sua postura de segurança, estabelecendo práticas defensivas que ajudam a gerir as ameaças decorrentes de comportamentos humanos imprevisíveis. No entanto, para que isto funcione, é necessário ter em conta as acções dos utilizadores. A abordagem mais eficaz a este respeito é aquela que se centra na identidade do utilizador e nos controlos de acesso, adoptando uma conceção centrada no ser humano. Recorrer à ajuda de um MSP pode ser particularmente benéfico para que possa tomar as seguintes medidas recomendadas:
Conceber controlos de segurança fáceis de utilizar:
A Gartner também prevê que, até 2027, 75% dos funcionários irão adquirir, modificar ou criar tecnologia fora da visibilidade das TI. Isto indica ainda que, se os processos estabelecidos forem complicados, os funcionários encontrarão uma forma de os contornar. É necessário avaliar os controlos existentes para compreender a experiência do ponto de vista do utilizador, a fim de otimizar o que funciona bem e eliminar o que não funciona, uma vez que isso reduzirá substancialmente os potenciais erros.
Melhorar a utilização das palavras-passe:
As palavras-passe são uma parte essencial da segurança baseada na identidade, mas podem ser difíceis de memorizar e gerir. Os gestores de palavras-passe podem ajudar os utilizadores a criar palavras-passe seguras e difíceis de adivinhar utilizando um sistema organizado. Isto reduz o perigo de ataques de força bruta e de phishing, dando às empresas um maior controlo sobre a força das palavras-passe, diminuindo a necessidade de reposição de passwords e mitigando os problemas relacionados com palavras-passe partilhadas ou roubadas. Permitir que os utilizadores criem passwords diferentes para todas as suas contas digitais, sem terem de se lembrar de todas elas, simplifica o acesso dos utilizadores sem comprometer a segurança.
Estabelecer um método de autenticação forte:
Os métodos de autenticação têm de ser reforçados através de uma solução de autenticação multifactor (MFA) que integre o início de sessão único (SSO) e a autenticação baseada no risco. Esta última melhora a experiência do utilizador, eliminando a autenticação adicional quando verifica que o utilizador tem segurança suficiente de acordo com os parâmetros definidos nas regras.
Investir na formação dos elementos da equipa:
Para além de fornecer formação regular de sensibilização para a segurança, é necessário desenvolver uma proposta de valor convincente que se ligue aos funcionários e influencie a sua tomada de decisões. Um MSP pode ajudar no desenvolvimento e fornecimento de cursos de formação eficazes, ajudando a reduzir a probabilidade de um ciberataque induzido por erro humano.
A segurança baseada na identidade é uma abordagem em várias camadas que requer monitorização, actualizações e melhorias contínuas. Para serem eficazes, as organizações devem implementar soluções poderosas capazes de as proteger e fornecer os recursos de que os utilizadores necessitam para as utilizar.
