CISO: Faça o que eu falo, mas não faça o que eu faço

Líderes de cibersegurança nas empresas podem não estar praticando o que costumam cobrar de seus subordinados. A revelação foi feita por uma pesquisa que buscou identificar comportamentos dos responsáveis por vigiar as fronteiras das empresas que podem estar sob ameaça, principalmente quando se trata de mídias sociais como vetor de ataque.

Os resultados mostraram que 57% já sofreram em suas rotinas pessoais ataques do tipo ATO (Account Takeover) – que costumam roubar identidade para ter acesso não autorizado a suas contas – mais frequentemente por e-mail (52%), mas também pelo LinkedIn (31%) e Facebook (26%). Cerca de um quatro (24%) dos entrevistados também usa a mesma senha para tarefas profissionais e pessoais. E quase metade (45%) dos líderes de cibersegurança se expõe ao se conectar a redes Wi-Fi públicas sem usar VPN.

Entre outros destaques do estudo, estão os seguintes pontos:

• Os líderes de cibersegurança são alvos frequentes de ataques de phishing, sendo que, em boa medida, os autores se passam frequentemente por CEOs. O número desse tipo de ataque apresentou um crescimento de 667% durante a pandemia de Covid-19, contando com diversas táticas. Quase três quartos dos líderes entrevistados afirmaram ter sido alvos de ataques phishing ou vishing (que envolvem o uso de chamadas de voz). Um terço (34%) comentou que alguém que se fez passar pelo CEO durante o ataque. E 28% relataram não ter medidas especiais de segurança para proteger seus executivos de ataques cibernéticos.

• Os líderes de cibersegurança usam com frequência dispositivos de trabalho para se conectar a redes sociais pessoais. Quase metade (48%) dos entrevistados usam o computador no trabalho para ter acesso a plataformas de redes sociais. Além disso, 77% dos líderes de cibersegurança costumam aceitar convites de pessoas desconhecidas, especialmente no LinkedIn (63%).

• Descuido com senhas entre líderes de cibersegurança. Cerca de um em cada quatro líderes de cibersegurança usam a mesma senha em suas rotinas profissional e pessoal. Além disso, 39% relataram que não modificaram suas senhas de e-mail profissional nos últimos 30 dias.

• A maioria das organizações não monitora possíveis ameaças contra suas marcas nas mídias sociais. Mais de 50% dos entrevistados não dispõe de políticas ou processos  formais para monitorar a esfera pública digital, incluindo mídias sociais, blogs e fóruns, para se proteger de impactos prejudiciais contra a marca ou a reputação da organização.

A pesquisa entrevistou mais de 100 líderes globais de cibersegurança, de nível sênior ao membros do C-suite, em setores de atividade como serviços financeiros, tecnologia, saúde, varejo e telecomunicações.