Sem dúvida, a vulnerabilidade mais importante em qualquer sistema de informação reside nos utilizadores. Afirma-o a Seresco, empresa especializada em processamento salarial e gestão de recursos humanos (RH), através do seu Departamento de Cibersegurança, e no âmbito do mês da conscientização sobre cibersegurança celebrado anualmente em outubro. A empresa acrescenta que todos os ataques direcionados, especialmente os mais bem sucedidos, utilizam técnicas de engenharia social como parte da sua estratégia.
Esta fraqueza, no entanto, pode ser transformada numa força, sublinha a Seresco. Os colaboradores de uma empresa podem ser a melhor medida de segurança desde que se perceba que, assim como os atacantes, os colaboradores são muito diferentes das máquinas e não podem ser «configurados» da mesma forma.
Sendo este o caso, é evidente que a área de RH das empresas, cuja função principal são as pessoas, não pode ignorar as questões de segurança da informação e tem de ser reforçada mais do que outras, se possível, para prevenir e gerir ciberataques no caso de serem vítimas de algum.
Em particular, o seu envolvimento especial pode ser analisado a partir de dois pontos de vista, diz a Seresco. O primeiro é como utilizadores que lidam com dados pessoais e têm obrigações legais relacionadas com os mesmos. A equipa de RH tem acesso, no mínimo, aos dados pessoais dos colaboradores. Sem entrar em pormenores que podem variar de uma empresa para outra, é evidente que devem estar conscientes das obrigações decorrentes das leis de RGPD (Regulamento Geral sobre a Proteção de Dados) e outra legislação em vigor nesta área.
Seguir cegamente as regras internas de uma empresa não é útil, pois nem tudo o que acontece no dia-a-dia corresponde literalmente a uma regra. É essencial compreender essas regras, de onde elas vêm e porquê. Por vezes é necessário recorrer a responsáveis internos ou externos que possam esclarecer, como o responsável pela proteção de dados, se existir, o Departamento de Segurança da Informação, ou um especialista externo com quem a empresa trabalhe.
O segundo ponto de vista, de acordo com a Seresco, é a visão de como alvos potenciais de ataques à informação sensível com que lidam. A equipa que trabalha no Departamento de RH de qualquer empresa tem dois elementos que os tornam num alvo potencial de particular interesse para os atacantes. Por um lado, o acesso aos dados pessoais dos funcionários e candidatos; por outro, o acesso aos números de conta e o consequente tratamento do dinheiro ao fazer transferências de salários.
Em ambos os casos, existem essencialmente dois tipos de ataques direcionados, confirma a Seresco. Os malwares, seja para roubar informação utilizando spyware ou para controlar remotamente o computador através de rootkits, RAT (ferramentas de administração remota) ou outros sistemas; e o já conhecido phishing ou spear phishing, ou a utilização de engenharia social, de uma forma direcionada ou massiva, para obter credenciais de acesso a bancos em linha, cartões de crédito, dados bancários, etc.
Evidentemente, e ainda mais insistentemente nos departamentos de recursos humanos, as medidas técnicas de segurança habituais são importantes, como por exemplo ter uma boa firewall, um bom antivírus, com uma licença válida e atualizada, sistema operativo e outros softwares instalados no computador atualizados, cópias de segurança regulares e verificadas periodicamente, não instalar qualquer software que não tenha sido previamente aprovado pelo Departamento de Sistemas, ter uma boa gestão de palavras-passe, entre outros.
A Seresco alerta, por isto, que os departamentos de RH podem ter um grande impacto na segurança da informação através de cinco ações que deveriam implementar e levar a cabo:
1. Participar na revisão dos procedimentos de segurança para melhorar a sua adaptação às necessidades de cada trabalho.
2. Proporcionar a todos os colaboradores uma formação de segurança adequada ao seu nível. No caso das pessoas de RH, a formação em proteção de dados pessoais é essencial.
3. Organizar dias regulares de sensibilização para que os colaboradores compreendam melhor os riscos envolvidos, a necessidade das regras que têm de cumprir e torná-las suas.
4. Conduzir regularmente ataques simulados ou testes de engenharia social, para descobrir o nível real de envolvimento dos colaboradores na segurança, e também para ajudar a melhorar as regras e procedimentos.
5. Rever os procedimentos de entrada e saída de colaboradores, garantir que cobrem todos os aspetos necessários e que estão a ser realizados corretamente.