Em 15 anos, muito se fez em tecnologia para proteção de dispositivos. Mas, ao mesmo tempo, o que foi feito em treinamento humano?

Computadores e dispositivos móveis armazenam, processam e transferem informações altamente valiosas. Como resultado, sua organização provavelmente investe muito para protegê-los. Proteja o endpoint e você terá as informações salvas. Humanos também armazenam, processam e transferem informações - as pessoas são, em muitos aspectos, nada mais que outro sistema operacional: o OS Humano

Ainda assim, se você comparar o quanto as organizações investem em segurança para as suas máquinas versus o quanto eles investem em treinamento de funcionários para proteger as informações, você ficará surpreso com a diferença. Por exemplo, empresas geralmente investem nos seguintes recursos para proteger um dispositivo final:

- Software antivírus
- Gerenciamento de correções
- Redes virtuais privadas
- Sistemas de prevenção baseados em host
- Autenticação de dois fatores
- Análise de vulnerabilidades
- Criptografia de endpoint
- Monitoramento de Log

Agora, vá além nessa lista e adicione o custo para assegurar cada computador. Depois acrescente o valor de contratos de suporte, telefonemas para help desk, e quantos funcionários em tempo integral são necessários para manter toda essa tecnologia. Você provavelmente acabará gastando entre 100 e 200 dólares por dispositivo.

Agora, vamos fazer o mesmo cálculo para as pessoas. Quanto você precisa para proteger cada funcionário? Sua empresa provavelmente gastará de 20 a 50 vezes mais protegendo as máquinas que em assegurando o Sistema Operacional Humano - isso se ele estiver realmente funcionando com esses empregados.

Se calcular a quantidade de dinheiro gasto em cada computador é muito complexo, tente uma conta mais simples. Calcule quantas pessoas você tem em sua equipe de segurança da informação. Agora, fora essas pessoas, quantos focam em segurança da tecnologia e quantos focam em segurança do OS Humano? Você provavelmente acabará com uma métrica similar, algo como 20-1 ou 50-1. E as companhias continuam se perguntando porque os humanos são o elo mais fraco.

A tecnologia é importante, e nós devemos continuar investindo nela para se proteger. No entanto, uma hora você vai chegar ao ponto de retorno decadente. Você tem que investir em segurança também para o OS Humano, ou crackers continuarão a contornar todos os controles simplesmente comprometendo os endpoints humanos.

Pense dessa maneira: há 15 anos tínhamos o velho oeste dos hackers, a era de ouro dos worms. Cibercriminosos podiam facilmente comprometer milhões de sistemas aleatoriamente verificando cada um na Internet e invadindo qualquer um que estivesse vulnerável - o que significava a maioria dos sistemas naquela época.

Nós da comunidade de segurança nos sentimos impotentes e começamos a investir pesadamente em segurança de computadores. Hoje em dia, as máquinas saem de fábrica com firewalls, serviços minimizados, correção automática e randomização de memória. Quinze anos mais tarde ficou bem mais difícil invadir um computador.

Mas nesses mesmos 15 anos, o que fizemos pelo OS Humano? Nada. Como resultado, esse sistema operacional continua encalhado na época do Windows95, WinNT e Solaris 2.5. Não há firewall por padrão, todos os serviços estão habilitados e esse OS está feliz em compartilhar dados com qualquer pessoa que solicitar.

Até começarmos a corrigir o problema humano, os criminosos continuarão a ganhar.

*Lance Spitzner é diretor de treinamento do programa de segurança para humanos do SANS Institute.