08 de junho de 2020

O fator humano representa grande responsabilidade nas medidas de cibersegurança, por isso as campanhas de conscientização em segurança da informação são tão importantes.

Mas por onde começar?

Campanhas de conscientização sobre segurança da informação

Com o alto crescimento de aderência ao trabalho remoto, diversas empresas passaram a se preocupar com a segurança desse modelo de trabalho nos últimos meses, o que nos rendeu diversos artigos sobre o assunto.

O cenário, no entanto, não é tão simples.

Se para algumas organizações já existia a dificuldade de aplicar suas políticas de segurança in company, como isso seria feito remotamente?

Segundo dados da Kaspersky, 33% dos incidentes em cibersegurança ocorreram por consequência de falha humana em 2019.

Dentre os ataques mais populares da atualidade estão os causados por engenharia social, os quais já abordamos por aqui. Essas ofensivas abusam de erros humanos para causar danos ou roubar informações do alvo.

O ser humano está fadado a cometer erros pelo fato de nem sempre ter a atenção dedicada ao que está sendo realizada, diferente de máquinas que podem ser programadas para realizar uma mesma ação por um longo período de tempo e sem interrupções.

Para combater diversas vulnerabilidades humanas, também conhecidas como fator humano, uma das grandes armas é a prevenção.

Uma das maneiras de fazer isso em uma organização, é com campanhas de conscientização, que alinhadas ao cenário empresarial, podem reduzir ocorrências.

Seja de casa ou in company, a estratégia pode funcionar, mas a grande questão é, por onde começar?

Neste artigo exploramos ainda mais o conceito para trazer os seguintes conteúdos:

Preparados para começar?

O que são Campanhas de Conscientização sobre cibersegurança

Campanhas de conscientização sobre segurança da informação podem ser definidas como uma prática econômica e sustentável para educar e mudar a relação das pessoas com a tecnologia em um determinado ambiente.

Seu objetivo é fazer com que os usuários de tecnologia em determinado ambiente adquiram plena consciência sobre a melhor maneira de utilizar os recursos e a importância de seus atos nesse ecossistema, reconhecendo também as consequências do não cumprimento de práticas específicas (como o roubo de informações)

Neste artigo, iremos focar nos ambientes corporativos.

Quando a conscientização em cibersegurança ganhou notoriedade

Embora seja um tema tradicional, foi somente em 2012, em uma iniciativa entre a Agência Europeia para a Segurança das Redes e Informação e a Comissão Europeia, além de outras entidades de mais de cerca de 28 países europeus, qu para a criação do European Cyber Security Month (ECSM), considerando Outubro como o mês da cibersegurança.

O período, com o tempo, foi ganhando aderência por outros países, como os Estados Unidos e Canadá, que criaram o Mês Nacional de Sensibilização para a Cibersegurança (NCSAM, em inglês) e o Mês da Sensibilização para a Cibersegurança, respectivamente.

Embora não seja oficialmente celebrado no Brasil, o assunto é amplamente explorado durante o mês de outubro por empresas do nicho e veículos nacionais.

Com o cenário mundial de cibersegurança cada vez mais preocupado com as vulnerabilidades do fator humano, campanhas como essas mostram a importância de treinar e conscientizar as pessoas para não comprometer seus dados ou as informações de seus locais de trabalho.

A transformação digital acelerada

A transformação digital é uma consequência social que no cenário corporativo tornou-se uma das demandas mais importantes para a maioria das empresas.

A tecnologia impacta a vida de pessoas e por isso a inovação deixou de ser um ponto extra para tornar-se essencial no mercado.

Como resultado, muitos ambientes podem reduzir problemas recorrentes como as lesões por trabalho repetitivo, já que com certos recursos é possível dispensar a realização humana de tarefas repetitivas.

A transformação digital consiste nos seguintes pilares:

  • Diagnóstico da Estrutura gerencial

Antes de qualquer ação dentro de uma organização é importante compreender sua estrutura gerencial. Com esse diagnóstico é possível definir o ponto de partida e todas as ações que tornarão a transição mais harmoniosa.

Essa importante etapa também ajuda na prevenção e redução de riscos, pois há um entendimento geral: quadro de funcionários, tecnologias utilizadas atualmente, área de atuação e impactos econômicos.

A análise de tecnologias atuais ajudará o setor de TI a definir as metodologias e processos que deverão ser adotados para a transformação digital.

  • Engajamento de Pessoas

A fase mais sensível na transformação digital é o envolvimento humano, a transição e linha de aprendizado de todos os profissionais envolvidos no processo pode variar muito de uma área para outra. Ainda que as intenções sejam de melhoria.

A adesão de pessoas é uma importante fase para o sucesso de um projeto como esse.

Uma boa maneira de garantir que todos os colaboradores estejam nos mesmos termos em relação ao processo, é através de reuniões de equipes – para que cada time possa compreender como isso irá impactar seu dia a dia, ou ainda, campanhas de conscientização, para que a informação seja sempre alinhada entre todos o setores.

  • Análise da Infraestrutura

Com toda a equipe ciente e positiva sobre as mudanças, chega a hora de voltar com os preparativos e análise de infraestrutura.

Essa é também uma etapa de extrema importância considerando que todas as expectativas estão em cima da funcionalidade das mudanças implementadas.

Outro ponto positivo é a possibilidade de antecipar riscos e os potenciais problemas que o novo sistema possa apresentar, já que a estrutura base para a mudança pode não ser totalmente compatível com as mudanças e por isso precisa ocorrer de maneira gradual ou exija um maior investimento.

  • Digitalização de processos

Uma das maiores transformações que deve ocorrer para a grande maioria das empresas é a digitalização de processos que antes eram realizados de maneira analógica, demandando tempo de trabalho dos funcionários.

Soluções como Robotic Process Automation (RPA), Internet of Things (IoT) e de análise de dados são algumas das que facilitam a rotina profissional ao automatizar diversos processos, fazendo que com que os profissionais possam dedicar-se ao trabalho intelectual ou simplesmente reduzir ações repetitivas que resultam em problemas como a Lesão por Esforço Repetitivo (LER).

O Gerenciamento de processos de negócio (Business Process Management ou BPM) é um dos conceitos que pode auxiliar o ciclo de transformação digital através de sua aplicação de recursos de gestão de negócios somados a tecnologia da informação com foco na otimização dos processos de negócio.

Indústria 4.0

Possivelmente uma das consequências da transformação digital, podemos compreender a indústria 4.0, também conhecida como “quarta revolução”, como sendo um termo que define a nova realidade da relação entre humanos e tecnologia.

Apesar da extrema familiaridade com a transformação digital, o conceito da quarta revolução não é novo, sendo mencionado pela primeira vez em 2011 – durante uma feira alemã de tecnologia, para descrever as estratégias de um projeto do governo.

Formalmente, a ideia implica que ao conectar máquinas, sistemas e ativos, empresas são capazes de controlar toda a cadeia de valor que podem controlar módulos da produção de forma independente.

Ou seja, com esse avanço de conectividade as empresas terão cada vez mais capacidade e autonomia para controlar sua produção, agendar manutenção e prever falhas no processo. Conceito inicialmente usado para a indústria de manufatura.

Princípios da indústria 4.0

Seis pontos são considerados princípios da indústria 4.0, os quais definem esse sistema de produção inteligente:

  • Operação em tempo real: Os dados podem ser coletados e utilizados em um curto período de tempo, permitindo decisões assertivas.
  • Virtualização: Aumento de visibilidade e monitoramento remoto de todos os processos que ocorrem no ambiente empresarial.
  • Descentralização: Tomada de decisões inteligentes pelos próprios sistemas ou ainda a possibilidade de analisar o histórico de atividades para aprimorar as decisões humanos.
  • Orientação a serviços: Os softwares são orientados a serviços aliados ao subconceito de Internet of Services (IoS).
  • Modularidade: As produções serão orientadas pela demanda, tornando possível desabilitar ou habilitar módulos específicos.

Pilares da indústria 4.0

Quais são os pilas considerados para a indústria 4.0, sabendo que seus princípios giram em torno da capacidade de tornar a rotina profissional menos “mecânica” em processos repetitivos?

  • Internet of Things (IoT): Muito citados nos materiais da Compugraf, IoT é a conexão em rede de aparelhos que até então eram totalmente desconectados, como uma simples geladeira, permitindo a otimização de seu uso.
  • Big Data Analytics: Com tecnologias cada vez mais robustas tornou-se possível a estruturação de grandes volumes de dados e o gerenciamento de suas informações. Com a transformação digital e indústria 4.0, essa evolução consiste m 6Cs: conexão, cloud, cyber, conteúdo, comunidade e customização.
  • Segurança: Como toda tecnologia, a segurança é uma grande preocupação para a indústria 4.0, com a alta conectividade chegam grandes responsabilidades, sendo necessárias diversas medidas de segurança.

Com conceitos complexos como o da indústria 4.0, gestores terão de entender se realmente estão transformando sua maneira de lidar com as coisas e a relação entre tecnologias e pessoas ou apenas realizando upgrades pontuais em seus sistemas.

A impressão digital dos usuários

O uso de qualquer dispositivo digital resulta na geração de resíduos que ficam alocados em algum local que será descartado em algum momento pelo aparelho (caso possua o sistema) ou manualmente com algum aplicativo específico para limpeza.

Além de poder resultar em menor performance e lentidão quando acumulados, esses resíduos podem tornar os dispositivos vulneráveis por representarem o lixo acumulado pelo sistema que ainda pode ser recuperado.

Cookies

Cookies são os responsáveis por armazenar, temporariamente, a maior parte dos resíduos deixados por usuários, e apesar de serem arquivos pequenos podem armazenar qualquer tipo de dados, incluindo dados como o e-mail do usuário ou informações sensíveis como seu nome e cidade.

Devido a isso, muitos sites – especialmente com a aplicação da GDPR na Europa, já avisam seus usuários de que certas informações serão armazenadas por cookies, dando a privacidade (nenhum armazenamento por cookies) como opção ao mercado.

Não limitados a isso, os cookies também podem conter as seguintes informações:

Login e Senhas

Muitos sites podem armazenar login e senha do usuário a partir de cookies, oferecendo a “comodidade” do acesso rápido. O problema é que a prática pode expor a privacidade dos usuários ao permitir o acesso facilitado por pessoas externas.

Histórico de Navegação

O histórico de acessos é outro recurso que pode ser salvo por cookies, e da mesma maneira que no caso de Login e Senhas, pode expor a privacidade do indivíduo.

Desempenho do computador

Ainda que possuam um peso e registro de ações extremamente leves, é possível que um computador perca em performance quando ocorrer a oferta final no sistema devido ao seu acumulo.

Cache

Cache é um local de armazenamento de dados temporários, como os resíduos de uso de redes sociais e demais aplicativos, facilitando o acesso a eles posteriormente, especialmente usado em áreas de login.

Os grandes beneficiados do sistema são os servidores web e seus sites, que ao registrarem informações por tempos pré-determinados podem reduzir o consumo de banda na recorrência de acesso em curtos períodos de distanciamento.

A limpeza de cache força páginas a serem carregadas desde o zero, mas a mesma só aconteça após momentos pré-configurados, podendo ocorrer de maneira forçada com o uso do navegador ou até mesmo como regra por parte dos administradores do site.

GDPR e LGPD

Com a chegada da GDPR, diversos sites ao redor do mundo e até mesmo como padrão em plataformas de conteúdo como o WordPress, passaram a ter páginas de política de uso e armazenamento de dados que muitas vezes incluem também a necessidade de aceitar o armazenamento de cookies do site.

Embora ainda não tenha entrado em vigor no Brasil, a Lei Geral de Proteção de Dados terá a mesma demanda quando em vigor no início do próximo ano.

O fator da desinformação humana

Embora muitas vulnerabilidades tenham origem tecnológica, essa não é sua única fonte.

Já em 2018 – segundo estudo da Kaspersky – cerca de 33% dos principais ataques na indústria tiveram origem humana, ou seja, ao menos 1/3 dos ataques foram resultados de práticas humanas, tornando-se uma das principais camadas de ataque em segurança da informação.

A Kaspersky também revelou em outra pesquisa, que 2/3 dessas empresas não reportam incidentes, o que significa que esses números poderiam ser ainda maiores.

A mudança de comportamento humano, com a adoção de dispositivos móveis, é cada vez menos segregada entre vida pessoal e profissional, especialmente com o crescimento de tendências como o BYOD (Bring Your Own Device) e o Trabalho Remoto.

Esses últimos podem ter fácil acesso a dados sensivos da empresa, tornando o rastreio e identificação por aplicações maliciosas ainda mais fácil.

Com a combinação de dispositivos – muitas vezes desprotegidos e a desinformação em cibersegurança, essas pessoas tornam-se alvos fáceis de criminosos que podem se aproveitar do combo, sendo uma vulnerabilidade para seus dados pessoais e corporativos.

Nenhuma empresa ou sociedade teria benefícios em um retrocesso dessa nova relação com a tecnologia, e é por isso que uma das melhores maneiras de remediar essas novas vulnerabilidades são as campanhas de conscientização sobre segurança da informação.

Das ações, as reações: Os principais ataques causados pela falta de conscientização

Observe a grande maioria das crianças. Algumas podem não gostar de tomar banho ou escovar os dentes, e se elas tivessem a escolha estariam vulneráveis a sujeira e consequentes problemas de saúde, logo isso não significa que as ações possam ser negligenciadas, correto?

Quando falamos em práticas de segurança o raciocínio pode ser levemente parecido, pois nem todo processo é o que vai tornar o dia a dia mais fácil. Ninguém quer ter o trabalho adicional de obter um código após digitar a senha, mas isso torna o ambiente mais seguro.

Como aqui neste artigo estamos falando justamente dessa benéfica, mas muitas vezes problemática, relação entre humanos e máquinas, precisamos destacar as principais consequências de um usuário não orientado:

Engenharia Social

A Engenharia Social representa uma série de ameaças que possuem como vítima uma pessoa, sendo o phishing a ameaça mais popular do mundo, além de funcionar a partir até mesmo de abordagens não eletrônicas.

Abordamos os mais diversos tipos de phishing e ataques de engenharia social em artigos como este e este, mas para contextualização, vamos lembrar que esses ataques ocorrem com a obtenção de dados de uma pessoa ou organização através de técnicas de comunicação e persuasão.

Isso pode ocorrer para:

  • Roubo de Senhas: Enganado por páginas muito semelhantes a serviços de consumo, usuários podem enviar suas informações de credenciamento para servidores de cibercriminosos ou realizar downloads com arquivos maliciosos.
  • Roubo de Informações: Da mesma maneira, usuários podem enviar dados e informações sigilosas ao serem solicitados por contatos que acreditem ser verdadeiros.
  • Perda de Privacidade: Cibercriminosos podem monitorar as ações, ler e-mails com credenciais comprometidas e até mesmo ter acesso a câmera e gravar ou fotografar suas vítimas sem serem notados.
  • Furto de Identidade: Muitas abordagens de phishing partem de e-mails, telefonemas ou domínios falsos, mas também é possível que parta de um contato real. Exceto que essa pessoa sofreu um ataque e alguém pode estar se passando por ela. Essa é considerada uma das práticas mais sérias em cibersegurança por envolver o crime de estelionato.

Uma das principais variações desse ataque chama-se spear phishing, sendo um ataque altamente segmentado para atacar funcionários e até mesmo executivos que podem enganar-se com telefonemas ou e-mails com conteúdo e contexto muito credíveis.

Esteganografia

A esteganografia é o conceito de esconder mensagens, isso pode ocorrer em imagens e também arquivos. Essa técnica milenar é uma área de estudos que analisa além de arquivos audiovisuais e softwares, meios como os protocolos TCP e documentos de texto.

Imagine que a partir disso, é possível esconder informações em recursos visualizados amplamente por todos dentro de uma organização, sendo que somente os interessados poderão entender a mensagem oculta já que saberão onde procurar por ela.

Diferente da criptografia, prática em que os dados estão ininteligíveis por todos de maneria publica, a esteganografia esconde esse fator, tornando-se algo ainda mais secreto.

Dentre os principais métodos para realizar tal façanha está a substituição de bits menos significativos, e por ser camuflada também limita-se ao máximo de dados que podem ser escondidos sem que outras pessoas percebam.

Isso pode ocorrer para:

  • Comunicações secretas: Cibercriminosos inseridos no mesmo ambiente de ataque podem utilizar a técnica para comunicar suas ações a partir da prática ou até mesmo expor dados de maneira silenciosa.
  • Códigos Maliciosos: A partir da técnica também é possível inserir códigos maliciosos em arquivos aparentemente seguros, como uma simples imagem.
  • Vírus e Malwares: Diversos tipos de vírus e malwares podem se beneficiar da prática, sendo o cavalo de troia um formato que trabalha com o uso do mesmo conceito.

Cache Poisoning

O Cache Poisoning é a corrupção dos dados temporários armazenados de um site, a partir de seu servidor de nomes, com a substituição de um endereço seguro por outro não autorizado.

A ameaça era considerada complexa até a edição de 2018 do evento Black Hat, pois durante a a1presentação de uma das palestras, James Kettle, chefe de pesquisa do PortSwigger Web Security, mostrou como realizar o ataque de maneira mais simples.

Sendo frequentemente associado a URL poisoning, um método para monitorar os comportamentos de um usuário a partir de um identificador invisível a vítima, essas vulnerabilidades podem:

  • Reconhecer ações de usuários sem o consentimento: Basta um pixel com o código de tracking para que seja possível descubrir a abertura de um e-mail, por exemplo.
  • Sequestro de navegador: Ao assumir os controles de DNS, o cibercriminoso pode direcionar a vítima que tenta acessar determinado link para o dstino desejado.

Vetores de ataque menos populares

Para categorizar os vários vetores de ataques subordinados a navegadores web, funcionando no fortalecimento de seus recursos, a cert.br criou uma página com essas principais vulnerabilidades, que apesar de menos populares, continuam sendo importantes para o processo de conscientização:

  • Códigos Móveis

Os códigos móveis são os recursos utilizados por desenvolvedores para trazer funcionalidades e melhorar a aparência de páginas web, o que apesar de parcer inofensivo possa trazer vulnerabilidades. Dentre os mais famosos, estão: Programas e Applets Java, JavaScripts e Controles ActiveX.

  • Cookies

Conforme já mencionado, os cookies podem armazenar informações de credenciamento, e isso pode resultar em situações de preenchimento automático em alguns ambientes, por exemplo, tornando o recurso uma vulnerabilidade caso o dispositivo esteja nas mãos de outras pessoas, além da possibilidade de memorizar informações pessoais e hábitos.

  • Janelas pop-up

Muitas vezes invasivas, as janelas pop-up não são as queridinhas da internet, mas ao carregar recursos automaticamente podem apresentar conteúdos indesejados, resultar em cliques involuntários ou até mesmo códigos maliciosos.

  • Plugins, complementos extensões

Os plugins são normalmente disponibilizados em marketplaces verificados pelos próprios navegadores, mas isso não é motivo para não serem alvos de vulnerabilidades disfarçadas ou rastreadores de comportamento.

  • Links Patrocinados e Anúncios gráficos

Alguns sites podem utilizar serviços como o Google Ads como forma de remuneração, o problema é quando esses anúncios são colocados em posições estratégicas para induzir o clique por ser confundido como páginas do próprio site, levando a anunciantes que nem sempre terão a mesma confiabilidade do site de origem.

  • Tranferências (P2P)

Existem diversas maneiras de compartilhar recursos de um usuário para o outro, desde um compartilhamento por aplicativos como o WhatsApp, até versões mais tradicionais como os serviços de Torrent. Mas essas trocas podem resultar também na transferência de infecções que nem mesmo a fonte (usuário que está enviando o arquivo) tinha o conhecimento.

Embora esses vetores de ataque sejam menos referenciados, é de extrema importância tratá-los em algum momento de uma campanha de conscientização sobre segurança da informação, pois são utilizados diariamente por usuários de diferentes setores.

O que dizem os especialistas da Compugraf

Conversamos com alguns dos profissionais da Compugraf acerca do tema de campanhas de conscientização, questionando sobre seus maiores receios em relação ao processo de conscientização de funcionários em diferentes momentos.

Rodrigo Guardia, gerente de Infraestrutura e Suporte de TI, destaca a responsabilidade de lidar com dispositivos pessoais para acessar arquivos da rede corporativa.

“É algo mais complexo, pois temos pouco ou nenhum controle sobre os fatores que cercam da ação. Não sabemos da saúde do dispositivo, a privacidade da rede utilizada para a conexão e as os ataques silenciosos que o usuário já possa estar sofrendo como resultado do uso pessoal. É por isso que é preciso preparar os dispositivos antes.”

Enquanto que em ambientes como a Compugraf são utilizadas soluções de ponta para garantir a segurança dos usuários e dispositivos corporativos, isso já não pode ser dito sobre os dispositivos trazidos de fora ou utilizados remotamente.

“Para todos os novos colaboradores, configuramos os dispositivos com a implementação de softwares, atualizações e sistemas operacionais atualizados. Quando temos um dispositivo que não é nativamente nosso, precisamos analisar sua condição até entender o melhor a ser implementado, incluindo soluções que são subsidiadas.” – finaliza.

A disposição de recursos corporativos e pessoais no trabalho é uma grande tendência do mercado e da rápida transformação digital, preparamos uma série de artigos que falam sobre o assunto.

Para Alex Feitosa, Analista de Segurança da Informação, as pessoas subestimam a segurança de dados em facilidades de navegadores considerados seguros.

Segundo o profissional, o roubo de senhas pode ser uma tarefa fácil em navegadores como Microsoft Edge e Google Chrome:

“Esses navegadores seguem a política da GPO. No método contra usuários mais vulneráveis – Com pouco conhecimento técnico e o acesso ao computador da vítima, basta um simples acesso a área de contas salvas para visualizar a senha de cada conta de usuário, ou, utilizar a inspeção de páginas até encontrar os valores das credenciais.”

Outro ponto destacado pelo profissional, é a fonte usada para download de diversas aplicações conhecidas, que muitas vezes mesmo sendo gratuitas, não são obtidas a partir de suas páginas oficiais:

“Exitem diversos sites agregadores de links que servem de intermediário para a realização de downloads de aplicações que não precisariam de um, pois já estão plenamente disponíveis em seus servidores oficiais, é o caso de utilitários como o Winrar, Adobe Acrobat, e até mesmo comunicadores como o WhatsApp…”

“Além de desnecessários, os servidores podem carregar códigos maliciosos em seus downloads, softwares adicionais, propaganda e versões atualizadas de um arquivo disponível no site oficial dos fabricantes.” – conclui.

Entendemos que apesar de nem todo agregador de link possuir links maliciosos, a grande maioria pode incluir no processo de downloads a exibição de anúncios que não remuneram os fabricantes e ainda podem realmente conter códigos comprometidos.

O fato é que muitos usuários, na pressa por um download, recorrem ao primeiro link, sem as devidas verificações ou buscam alternativas se fabricantes de software tornam o download, ainda que gratuito, mais burocráticos, como a necessidade de envio de e-mails ou o cadastramento de contas.

A conscientização é especialmente sobre isso, mostrar aos usuários que os atalhos não representam as melhores ações para situações como essa, não vale o risco.

Ricardo Martins, Analista de Produtos da Compugraf, reforça pontos básicos que por mera conveniência podem não ser respeitados:

“Acredito que os erros de muitos usuários, seja em suas redes corporativas ou pessoais, começa na criação de senhas, pois as pessoas ainda querem lembrar de suas senhas e por isso acabam repetindo as mesmas em diversos serviços. Isso é fatal, se o cibercriminoso descobre uma, ganha acesso a todas as outras.”

Ele também incentiva a prática durante as campanhas de conscientização “Por que não testar, aleatoriamente, diferentes setores ou usuários com ataques falsos? Essa é provavelmente uma das melhores maneiras de manter o alerta e ainda resultar em boas reflexões posteriores.” – finaliza.

Empresas podem aplicar testes regulares em sua própria rede e funcionários não apenas para testar suas capacidades em distinguir conteúdos falsos dos verídicos, mas para refletir sobre suas próprias vulnerabilidades e melhorias.

Existem 7 tipos de testes em segurança da informação que são amplamente aplicados:

  • Scanning de vulnerabilidades: Um teste realizado para identificar as principais vulnerabilidades de um sistema ou rede, como portas abertas que não precisariam estar.
  • Scanning de segurança: Envolve a identificação de vulnerabilidades de rede e sistema para apresentar as melhores soluções para redução de danos.
  • Teste de Penetração (PenTest): Nesse tipo de teste ocorre um ataque simulado, do mesmo nível que potencialmente ocorreria por um hacker, é normalmente utilizado para testar sistemas específicos e em menor escala.
  • Análise de Riscos: Esse teste de rotina ajuda na classificação das vulnerabilidades atuais da empresa, tornando mais fácil a definição de prioridades nas soluções ao decorrer de uma estratégia de segurança e a necessidade de campanhas de conscientização.
  • Auditoria de Segurança: A auditoria de segurança representa uma inspeção interna de aplicações e sistemas operacionais para garantir que não existam falhas eminentes em seus sistemas de segurança.
  • Hacking ético: O hack ético é parecido com um PenTest, tendo a função de criação de ataques reais, contra softwares da empresa, partindo de pessoas que não têm intenção de causar danos reais a empresa em questão, funcionando apenas para o encontro de vulnerabilidades.
  • Análise de Postura: A análise de postura reconhece diversos fatores da segurança, como os resultados do hacking ético, o scanning de segurança e a análise de riscos para estudar o estado e maturidade do nível de proteção da empresa contra os principais tipos de ataque conhecidos no mercado, é uma maneira de reunir os dados relevantes para a criação ou adaptação de estratégias.

Mitos sobre a testagem de vulnerabilidades

Para muitos gestores a testagem de vulnerabilidades pode soar apenas como uma maneira de gastar dinheiro, mas isso está longe de ser realidade, sendo uma ação recomendada por diversos especialistas.

Dentre os principais mitos sobre práticas de segurança da informação, desvendemos as seguintes:

Mito 1: Empresas de pequeno porte não precisam de uma política de dados.

Toda empresa precisa de uma política de dados, inclusive o início é o melhor momento para se criar aplicar uma.

Mito 2: Não existe retorno no investimento de testes.

Os testes de segurança podem evitar que sua empresa precise pagar para solucionar problemas reais, sendo essencial para o investimento em melhores estruturas e upgrades.

Mito 3: Basta desligar um dispositivo para impedir ataques

Desligar o sistema jamais impede que um ataque aconteça, até porque eventualmente ele será ativado novamente. A melhor maneira de impedir ataques é implementando um sistema de segurança que funcione.

Mito 4: Basta comprar soluções de segurança que a empresa estará segura

Este artigo é sobre campanhas de conscientização, mostrado que não basta apenas implementar softwares de segurança mas também ensinar pessoas como utilizar as ferramentas da melhor maneira. O investimento em boas soluções de segurança é importante, mas o conhecimento de aplicação de práticas seguras, é essencial.

As campanhas de conscientização sobre cibersegurança no mundo

Por apresentar as medidas específicas de segurança adotadas pela organização, não é muito comum que ajam campanhas públicas de conscientização sobre cibersegurança, mas a seguir apresentamos a maneira como 3 empresas usaram tal oportunidade.

Cibersegurança no setor elétrico brasileiro

Em 2016, um grupo de alunos da Associação Educacional Dom Bosco realizou a aplicação de uma campanha de conscientização.

O cliente? Uma empresa do setor elétrico brasileiro, abrangendo todos os seus setores internos: estratégico, tático e operacional, utilizando o modelo PMBOK (Guia de Gerenciamento de Projetos do PMI).

Durante o diagnostico, os estudantes compreenderam os principais problemas e cotidiano dos funcionários e a partir de recursos como videos, cartilhas e a inclusão das dicas de conscientização na newsletter semanal da empresa, foram capazes de criar uma ação final e interativa com jogos de perguntas e respostas e desafios para garantir a participação e verificação de resultados na prática.

Os resultados da pesquisa também mostram a satisfação dos funcionários ao final da primeira fase da campanha, que segundo o documento, foi apenas um modelo que deveria ser continuado pelo cliente.

A CISCO e as esquetes de cibersegurança

Para apresentar as vulnerabilidades que uma das soluções pode resolver, a CISCO – empresa de TI e Redes, apostou no formato de webséries em esquetes no YouTube para abordar o tema de maneira cômica.

Confira o vídeo:

Conscientização para crianças

A CISO Platform, um projeto de rede social indiano para profissionais de segurança da informação, apostou no formato simples de vídeos do YouTube para lançar uma campanha de conscientização para crianças.

Considerando que o fator humano é vulnerável e as crianças estão cada vez mais conectadas, não é um erro imaginar que a conscientização delas também pode ser importante na blindagem de informações.

Mesmo com o monitoramento constante dos pais, é importante que elas também tenham cuidado nas informações compartilhadas ou publicadas em redes sociais. Além disso, qual o público mais difícil de se chamar a atenção? sim, as crianças.

Confira o vídeo:

O Case da HP e o ator de Breaking Bad

Em 2018, a HP Inc. lançou uma campanha de conscientização sobre cibersegurança em empresas em seu projeto de websérie, que mostrava como qualquer dispositivo conectado está vulnerável.

Para a ação gerar interesse e causar ainda mais impacto, a série trouxe o ator Jonathan Banks, que interpreta um personagem do sucesso televisivo Breaking Bad, falando sobre proteção de dados e como as soluções da empresa podem ser úteis no processo.

O vídeo vem logo após outro episódio estrelado, dessa vez com a participação de Christian Slater de Mr. Robot.

Confira o episódio a seguir:

Embora seja uma ação de conscientização patrocinada e publicitária, a série da HP ilustra bem a importância de tornar as campanhas de conscientização interessantes.

Talvez em um cenário interno, o fato de trazer um ator de tv não seja a melhor alternativa, mas os gestores precisam pensar que, além dos próprios líderes, quem os funcionários escutariam com toda a atenção necessária?

Os principais riscos de um usuário corporativo

Ainda que não sejam todas as empresas que possam investir em profissionais dedicados a aplicação de políticas e mecanismos de segurança da informação, é um erro achar que a cibersegurança tem uma solução simples e universal.

Soluções baseadas em softwares funcionam para finalidades específicas, assim como câmeras de segurança são direcionadas ao monitoramento de perímetros definidos.

Dentre as principais vulnerabilidades e ataques que podem ser realizados contra um usuário corporativos, estão alternativas que também podem ocorrer a partir de outras camadas de ataque, por isso, é importante considerar que as campanhas de conscientização sobre segurança da informação representam apenas um dos pilares de segurança.

Ações de cibercriminosos podem resultar em perdas e vazamentos de dados, assim como o sequestro de informações e o espalhamento de notícias falsas. Essas resoluções, no entanto, podem ocorrer a partir de diversos fatores, sendo alguns deles:

  • Acesso a conteúdos impróprios, falsos ou ofensivos

Usuários desinformados podem utilizar a rede pessoal ou corporativa para acessar conteúdos impróprios, falsos ou ofensivos – intencionalmente ou não, esses destinos possuem grandes chances de estarem infectados.

  • Contato com pessoas mal-intencionadas e furto de identidade

Estar em frente a uma tela significa que a maioria das pessoas com quem se comunica não sabe se você realmente é quem diz que é, e isso vale para os dois lados. Alguém pode fingir sem você ou até mesmo um colega do trabalho.

  • Compartilhamento e recebimento de notícias e informações falsas

Da mesma maneira que alguém pode se passar por uma outra pessoa, é possível compartilhar ou/e receber informações que nem sempre condizem com a verdade, a prática ganhou grande destaque e hoje é popularmente como fake news.

  • Excesso de informações

Com as facilidades da tecnologia tornou-se possível as sobrecargas de informação, algo que embora não represente um risco a curto prazo, pode resultar em diversos problemas para a saúde mental dos usuários, que também podem torná-los mais vulneráveis a ataques como o phishing. Esse excesso pode ser uma consequência orgânica ou intencional, partindo de ataques como os Spams.

  • Violação de Dados

A violação de dados pode ocorrer a partir de um simples compartilhamento de arquivos entre dois colaboradores, mas também pode ser causada após algum ataque causado pelo cibercriminoso.

  • Mau uso de recursos, softwares e redes

Softwares desatualizados não devem ser a única preocupação da infraestrutura dos usuários. Tudo o que cibercriminosos precisam para obter senhas salvas em navegadores como o Google Chrome, e o Microsoft Edge pode ser 2 minutos no dispositivo da vitima, que pode ter se ausentado da mesa para pegar um café.

Do outro lado: como o cibercriminoso pensa?

Uma importante características das campanhas de conscientização de sucesso é que elas não ditam regras, mas sim, contam a história do porque as pessoas devem fazer as coisas de determinada maneira.

Entender as razões que levam pessoas a realizarm determinadas ações pode ser importante para compreender os momentos em que devem reagir e por isso auxiliar no processo de conscientização. Confira algumas das motivações que um cibercriminoso pode ter para fazer vítimas:

  • Demonstração de Poder: Muitos cibercriminosos podem agir pela simples possibilidade de mostrarem o que podem fazer. A ação é comumente acompanhada de tentativas de solicitações de pagamento para que a prática não ocorra novamente.
  • Prestígio: Alguns hackers também podem realizar ataques para serem reconhecidos em sua comunidade, assim como também podem estar diantes de alguma disputa que partiu do mesmo lugar.
  • Motivações Financeiras: Pode ser que a única razão pela qual uma empresa tenha sido atacada é o quanto ela pode pagar para que a situação seja corrigida. Ou até mesmo profissionalmente na localização de falhas pagas pela própria contratante. Cibercriminosos podem ter motivações unicamente financeiras.
  • Motivações Ideológicas: Sendo os cibercriminosos seres humanos, também estão sujeitos a falhas e ações emotivas ou reativas a posicionamentos políticos e sociais.
  • Motivações Comerciais: Empresas podem atacar outras empresas em momentos que sejam favoráveis a ela, a nível comercial – como para comprometer a reputação ou reduzir as vendas em datas comemorativas.

Quais são os tipos de cibercriminosos?

Existem diversos tipos de hackers e carreiras dentro da cibersegurança associados a eles, mas em geral, eles podem ser classificados de acordo com suas principais funçõs:

Hacker

Acessam computadores ou redes sem a autorização das vítimas.

Crackers

Forçam a entrada em sistemas para roubar dados ou destruí-los.

Whitehats

Quando não oficialmente contratados pelas próprias vítimas, costumam realizar ataques com o intuito de expor a vulnerabilidade para empresas sem que causem nenhum mal a elas.

Script Kiddies

São hackers inexperientes que possuem poucas ou nenhuma experiência, além de terem um conhecimento bem limitado das linguagens de programação.

A mudança de cultura com a conscientização de segurança da informação

Uma boa cultura organizacional pode definir como a empresa funciona no dia-a-dia, seus processos, comportamento esperado e as rotinas que, somadas ao trabalho dos gestores de cada setor podem resultar no sucesso esperado.

Essa cultura é formada por valores e normas que impactam diretamente na rotina de todos os stakeholders como grupos e individualmente no modo de se relacionar e comunicar com outros colaboradores.

Além das melhorias de rotina, também espera-se que uma boa cultura sirva para potenciar e desenvolver as soft skills de todos os envolvidos.

E por isso que pode existir uma grande barreira, com o poder de separar funcionários dos objetivos definidos por uma empresa, quando não há aderência a cultura atual ou exista o desejo de alterações.

A importância da comunicação interna

De todos os recursos que permeiam a saúde de uma empresa, a comunicação interna é um dos principais responsáveis pelo sucesso ou fracasso de uma estratégia de grande impacto como a cultura organizacional.

A verdade é que uma mudança de cultura – especialmente quando envolve motivos de extrema importância como a segurança da informação, deve incluir em seu planejamento os procedimentos necessários para tal fim.

Essa comunicação deve envolver o máximo de líderes possíveis.

Quanto ao profissional responsável pela organização da campanha, espera-se algumas características:

  • Ele entende as ameaças de cada setor

Antes mesmo de traçar uma estratégia ou comunicar os times para realizar um brainstorm e entender o que seria importante para cada setor dentro da organização, o gestor de campanha realiza suas pesquisas e já possui uma visão funcional do status de segurança e boas alternativas de proteção.

  • Reconhece o nível de mudanças necessárias para a organização

Não são todas as empresas que precisam passar por uma drástica transformação de comportamento e práticas para terem uma rotina mais segura, tudo vai depender da maturidade em que se encontram no processo de transformação digital. Um bom gestor avalia isso para apresentar as melhores ações, assim como:

  1. Analisar os setores que seguem melhor as políticas já existentes e quais precisarão de maior atenção.
  2. Reconhece o trabalho dos diferentes profissionais para garantir que determinadas medidas fazem sentido para suas rotinas.
  • Analisa a cultura organizacional atual

O gestor de campanha de conscientização compreende o ponto de partida institucional da empresa, checando se todos os funcionários estão cientes da política de proteção de dados da empresa, ou até mesmo se a empresa já possui algum.

  • Verifica se todos os funcionários estão bem informados sobre cibersegurança

As necessidades e práticas de segurança podem mudar no decorrer do tempo, e especialmente em planos contínuos como uma campanha de conscientização, é importante manter todos os funcionários com a mente aberta para continuar absorvendo as novidades e em nenhum momento acharem que estão atualizados e já sabem como se prevenir de todas as vulnerabilidades.

  • Mantém a cultura de conscientização funcionando

Uma característica importante do gestor de conscientização é a criatividade e capacidade de tornar os planos contínuos e interessantes ao longo do tempo, reconhecendo que é um trabalho que na maioria dos casos não deveria ter um prazo para terminar.

O que pode ser utilizado nas campanhas de conscientização

Embora sejam medidas de extrema importância, alguns procedimentos preventivos podem tornar algumas ações mais longas ou chatas de serem realizadas – seria muito mais legal se todos pudessem acessar contas sem o duplo-fator, não é mesmo?

Mas são medidas necessárias e enquanto a tecnologia é atualizada para tornar esse impacto cada vez menor, o profissional responsável pelas medidas de segurança precisa tornar essa absorção de informações e guia de ações o menos entediantes.

Marketing de Gamificação

O marketing de gameficiação nada mais é do que a inclusão de ações interativas, no modelo de “jogos” para determinado fim.

Quando falamos em campanhas de conscientização, existe o grande desafio de capturar um dos bens mais valiosos da atualidade: a atenção.

Uma das maneiras de obter isso é com técnicas de gamificação, que não apenas capturam a atenção dos alvos, que devem se interessar e sentir-se desafiados por ela, como também a absorção das informações com maior facilidade.

Uma pesquisa do Gartnet revela que empresas que já aplicaram o marketing de gamificação sentiram uma melhora de 20% no engajamento de funcionários com processos internos.

Não é atoa que muitas organizações estão investindo na prática até mesmo para treinamentos de maior complexidade, como o entendimento das Leis de Proteção de Dados.

Principais Ferramentas

Ainda que existam diversos recursos, tanto analógicos quanto tecnológicos, que possam auxiliar nisso, alguns materiais e formatos mais tradicionais ainda podem ser considerados grandes aliados da causa:

  • Documentos no estilo guia, com títulos desafiadores – exemplo: “Você realmente sabe tudo sobre segurança digital no trabalho?”
  • Vídeos – Um dos formatos mais populares da internet é também um dos mais recomendados por permitir que mais pessoas absorvam certas mensagens.
  • Áudios/Podcasts – Tão populares quanto vídeos para esse fim, áudios podem performar muito bem em uma campanha de conscientização, podendo ser incluídos em locais de alto tráfego como elevadores, salas de espera, etc.
  • Checklist – Além de ser um grande aliado para a produtividade, checklists podem incentivar pessoas a executarem determinadas tarefas pelo prazer de terem a lista de ações “cumprida”.
  • Apresentações/Slides – Ainda que seja um recurso mais tradicional, – – apresentação de slides ainda podem funcionar em ambientes mais tradicionais, como conteúdo referencial, ou até empresas jovens quando aliadas a boas técnicas de storytelling.
  • Cartazes – A fixação de informações no formato de cartazes pode ser bastante efetiva quando bem posicionadas e com mensagens persuasivas. É um recurso básico para uma campanha do gênero.
  • Post-It – Seguindo a mesma lógica dos cartazes, lembretes em pequenos papéis podem ser úteis por funcionarem em diferentes locais e de maneira mais personalizada, além de serem uma opção muito econômica, que pode ser usada internamente pelos líderes de cada setor.

O importante trabalho do gestor da campanha de conscientização de cibersegurança

Dentro do contexto de planejamento e aplicação de uma campanha de conscientização, um dos personagens mais importantes é o profissional responsável pela organização da ação.

Por muitas vezes envolver, conforme já mencionado, até mesmo uma mudança de cultura em empresas com mais tempo no mercado, é esse profissional que estará presente em todas as fases do processo para garantir que o plano não apenas seja aplicado, como também monitorado e tenha seus resultados devidamente apurados.

A função pode ser exercida por gestores ou outros profissionais que tenham um background tecnológico, ou ainda, trabalhe ao lado de alguém do setor de recursos humanos para tornar traçar o perfil e fazer mudanças assertivas ao longo da campanha.

O importante trabalho do gestor da campanha de conscientização também funciona como referência para profissionais que possam ter dúvidas sobre determinados processos.

O gestor de campanha tem o papel de incentivar a equipe a aderir ao projeto, fazendo com que todos pensem na segurança das informações da empresa, e também as seguintes tarefas:

  1. Fazer com que todos entendam as ameaças e riscos que seus setores e a empresa como um todo estão sujeitos no dia a dia.
  2. Tornar público a importância do comportamento e ações de cada um no processo para manter a empresa mais segura.
  3. Despertar nos funcionários de outros setores o interesse em aprender mais sobre segurança da informação e a avaliarem seu atual conhecimento sobre essas vulnerabilidades.
  4. Manter os colaboradores informados sobre as melhores práticas do momento e traduzi-las da melhor maneira para o setor da empresa.
  5. Auxiliar na atualização, ou até mesmo na criação da política de proteção de dados organizacional.
  6. Garantir que a conscientização seja constante, mantendo os picos de informação sempre equilibrados para que ninguém ache que foi apenas uma ação passageira.

O que considerar e qual a importância de uma política de segurança de dados

Empresas sem uma política de proteção de dados formalizada pode ter problemas na produção de campanhas de conscientização pelo simples fato de não terem uma base de conhecimento pública para seus funcionários entenderem o que é importante.

Se a sua empresa está no processo de criação ou até mesmo adaptação do plano vigent, é importante considerar os seguintes fatores na hora de elaborar uma política de segurança de dados:

  • Classificação de sensibilidade dos dados

Antes de qualquer coisa, é necessário categorizar o nível de sigilo dos dados da empresa.

Entenda por dado todo tipo de informação, desde número de funcionários a faturamentos e informações de clientes e fornecedores.

É de extrema importância definir os tipos de dados que percorrem pelos servidores de uma empresa antes de definir sua estratégia de proteção, bem como definir seus níveis de sigilo.

Isto é, criar um controle de acesso a partir de uma análise de lacunas, de acordo os requisitos da norma ISO 27001:

Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.

Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.

Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.

Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.

Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.

Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.

  • Processos e ferramentas da Política de Segurança de Dados

Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.

Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.

Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.

Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.

Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.

Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.

  • Tempo e processo de implementação

Para empresas que operam de maneira muito diferente, talvez o processo de aplicação de uma nova política de proteção de dados não seja tão fácil.

Mas é um erro pensar que somente a parte tecnológica importa no processo, pois se as práticas afetam a rotina de funcionários, eles também precisam enxergar seus benefícios e sua importância.

É preciso considerar que para qualificar a equipe a trabalhar da forma mais segura possível, é necessário um treinamento constante a respeito de segurança da informação e o cumprimento de uma agenda de atualização da PSI.

  • Qual o perfil da empresa?

Processos muito complexos para uma empresa menos tradicional podem não funcionar tão bem, por isso uma das principais etapas de implementação de políticas de segurança da informação é analisar o perfil da organização para trabalhar em ações personalizadas.

O momento também é ideal para mapear todas as perguntas que devem ser respondidas: qual a finalidade de implementação, quem são os responsáveis, a quem recorrer em situações emergenciais, o que deve ser protegido e em quanto tempo tudo estará implementado.

  • Treinamento, disponibilidade e compromisso

Se os processos irão mudar, os funcionários precisam ser instruídos para aplicar as novas diretrizes, e dependendo da intensidade da mudança, treinamentos específicos podem ser necessários.

Após todos os processos serem ensinados, é interessante que os participantes se comprometam formalmente a cumprir o que foi aprendido.

E para garantir que não restem dúvidas, além de pontuar as pessoas que podem auxiliar no esclarecimento, é interessante criar um canal para que todos possam revisar os itens sempre que necessário.

Em longo prazo, o treinamento tem o foco em que cada colaborador possa ser mais produtivo na utilização dos sistemas e tenha consciência dos riscos de maus hábitos online como visualizar spams e acessar conteúdo de fontes desconhecidas.

  • Normas

O que é permitido e proibido para que as políticas sejam cumpridas?

Regras para o uso de softwares e equipamentos, bloqueio de sites e aplicativos são algumas das normas que podem ser necessárias para a aplicação da PSI.

Isso evita o inconveniente de um malware ser embutido nos arquivos da empresa após uma pesquisa descuidada na internet.

  • Planos de contingência

E se mesmo com a política de segurança da informação algum dado for comprometido? E se o usuário tiver problemas e ninguém próximo para auxiliar?

É preciso definir planos de contingência para que todos possam tomar decisões rápidas e assertivas nos momentos críticos, uma estratégia que depende exclusivamente de uma pessoa ou local único para acesso, está fadada ao erro, pois imprevistos sempre podem acontecer.

Esse plano deve ser traçado a partir de um estudo dos riscos que a empresa corre e visando passos como: diagnóstico, definir prioridades, ciência dos colaboradores de como seguir esse plano e estratégias pré-definidas.

  • Alinhamentos internos

Durante a criação da política de segurança da informação é também importante manter todos os diferentes setores da organização alinhados para que seja possível compreender como isso afetaria cada uma das áreas.

Além disso, o RH precisa estar muito presente durante o processo, pois eles terão papel fundamental no planejamento instrutivo das medidas apresentadas.

  • Avaliação e atualizações

Com o plano aplicado, é preciso analisar periodicamente os impactos causados por ele.

Paralelo a isso, independente do sucesso da estratégia principal, é preciso estar informado sobre práticas e novas tecnologias que possam tornar as coisas cada dia melhores e mais efetivas.

Como criar uma campanha memorável de conscientização de cibersegurança

O fator humano é a maior vulnerabilidade de sua estratégia contra ciberataques, então saiba aqui como aplicar um plano consistente e sustentável para sua organização.

Mais de 32% dos ataques são resultados de phishing.

Campanhas de conscientização sobre segurança da informação são essenciais para educar uma equipe enquanto ocorre a produção de um projeto.Confira 12 etapas para criar uma campanha forte e memorável:

  • Foco em problemas reais

Foque no que é realmente um problema para sua organização.Embora a ideia de resolver todos os problemas de uma vez seja algo sedutor, mas nenhuma campanha que tenta acertar tudo deve funcionar. O melhor é focar nos principais conceitos e somente quando os funcionários sentirem-se confortáveis com aquilo, partir para outras medidas.

  • Reforço nas principais medidas

Verifique cada setor para tentar compreender as necessidades de segurança de cada um. Política de Segurança da Informação

  • Segmentação para os diferentes grupos de trabalho

Reconhecendo as necessidades de cada setor, chegou a hora segmentar as melhores mensagens para cada um, pensando no que seria mais efetivo para determinado público e o que seria revendido.

  • Repetição de mensagens em diferentes canais

A repetição de canais é um recurso que funciona no marketing digital e com toda certeza deve auxiliar no marketing de conteúdo e offline, também. Repita as mensagens da campanha em diferentes canais internos e até mesmo formatos, caso houver a opção, isso pode ajudar os funcionários a fixarem-a melhor

  • Utilização de influenciadores para transmissão de mensagens

Para uma organização, um influenciador não precisa necessariamente ser alguém famoso, pode ser um líder de equipe, por exemplo.Compartilhar histórias de gestores ou até mesmo do dono da empresa pode ser inspirador para muita gente.

  • Desafio de crenças em cibersegurança

É muito importante que alguns profissionais sejam desafiados para que a campanha seja vista com bons olhos. Selecione, junto a equipe de TI, aqueles convidados e profissionais seniors podem receber desafios específicos que os torna vulneráveis também.

  • Ilustração de situações

Durante a campanha, utilize formas e cores distintas, busque trazer o máximo de atenção para as peças da campanha, além de verificar boas referências para tornar a campanha única.

  • Exemplos de ocorrências anteriores

A empresa em questão já sofreu algum tipo de ataque no passado? Trazer ocorrências passadas é uma ótima maneira de criar consciência sobre como certos ataques são possíveis e não estão longes da empresa

  • Inclusão de informações relevantes para além do trabalho

Ninguém deve questionar um bom plano de conscientização, mas considerando que muitos funcionários podem trabalhar de dispositivos celulares ou até mesmo o computadores remotos, porque não pensar em soluções que possam levar e ser aplicando de casa, também?

  • Contar histórias

Além de um ótimo e estratégico design, a melhor maneira de atrair a atenção dos funcionários, é com textos que chamem sua atenção, e uma das maneiras de se obter esse resultado é através dos textos persuasivos do storytelling.

  • Justificar os motivos

É sempre bom lembrar, as pessoas gostam de saber o porquê de estarem fazendo alguma coisa. Deixe bem claro as razões de certas medidas estarem sendo tomadas para que o processo de transição faça sentido para todas as partes envolvidas.

  • Compartilhar resultados

Compartilhe os resultados de todas as campanhas com as pessoas envolvidas, colete feedbacks, alterações (caso necessário) e continue com as campanhas de conscientização.

Medidas Preventivas no dia a dia corporativo

Durante nossa última campanha sobre engenharia social, separamos diversas dicas práticas de como ter uma rotina mais segura em diferentes ambientes.

Embora partam de uma realidade generalizada, é importante reforçar que as medidas podem ser úteis mas que diferentes empresas e localidades podem possuir necessidades diferentes sobre o que funciona para seus ambientes.

Confira os tópicos:

  • Política da mesa organizada

Esqueça o excesso de itens de escritório, como papéis e impressões em sua mesa de trabalho. Para garantir a segurança de olhares indiscretos, somente itens que estão sendo utilizados naquele momento devem estar presentes e informações sensíveis devem ser consumidas discretamente.

  • O uso de aparelhos pessoais (BYOD)

Expandir a informação de que os dispositivos dos colaboradores, mesmo quando pessoais, passam a ter as mesmas responsabilidades, regras e políticas de segurança de qualquer outra máquina corporativa a partir do momento que se conectam a rede.

  • Gerenciamento de Dados

É importante que todos os funcionários tenham noção da importância dos dados com os quais trabalha, protegendo cópias e compartilhamentos não autorizados, mesmo que o documento não apresente dados de extrema relevância, pois assim é possível criar a cultura de responsabilidade, proteção e sentimento de dono por esses dados.

  • Mídia removível

Não é nada incomum ver um funcionário plugando um pendrive em seu dispositivo simplesmente para ver o que se encontra nele armazenado ou simplesmente a quem pertence, o problema é que a mídia pode também ser um cavalo de troia. Nesses casos, o mais recomendável é consultar o gerente de SI para realizar os testes necessários.

  • Manter gavetas e armários fechados

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

  • Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

  • Não compartilhar login e senha com nenhum colega de trabalho

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

  • Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

  • Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

  • Em situações externas, evitar ao máximo mencionar informações internas da empresa

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

  • Colaboradores bem informados sobre a própria organização nunca representarão algo negativo

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

  • Coletar documentos impressos logo em seguida

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

  • Em dispositivos

Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, instalar somente softwares e aplicativos de fontes confiáveis.

  • Manter todo o sistema atualizado

Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.

  • Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado

Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.

  • Não memorizar senhas em computadores públicos ou de uso compartilhado

Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.

  • Bloquear imediatamente qualquer cartão bancário perdido.

Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.

  • Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.

Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.

  • Em e-mails e redes sociais

Verificar sempre o remetente do e-mail.

É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.

  • Desconfiar de todo e-mail com remetente desconhecido que possui anexos e links

Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.

  • Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.

As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.

  • Em redes sociais

Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.

Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.

Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.

Medidas de proteção na cultura do BYOD

Bring Your On Device (BYOD) é um modelo de gestão em que os funcionários trabalham com seus próprios equipamentos.

A política de BYOD traz vantagens como a redução de custo, mas a falta de visibilidade pode ser um problema para os gestores de segurança da informação. Então como lidar com os principais problemas encontrados na adoção do método?

Os funcionários devem ser treinados a lidar com essa realidade

Não basta que exista um excelente documento de política de segurança da informação se os funcionários não estiverem capacitados a seguir as diretrizes.

Permissões de uso de sites para download

Embora o trabalho BYOD ainda seja muito relacionado ao uso de notebooks, incluem-se na categoria smartphones e tablets.

Uma vez que essa gama de dispositivos pessoais está sendo utilizada na empresa, é necessário atenção quanto as lojas de aplicativos onde seus colaboradores realizam seus downloads.

Checagem por versões obsoletas de sistemas operacionais

Independente de qual sistema, seja Windows/macOS em um computador portátil ou uma versão antiga do Android/iOS, um sistema desatualizado é um grande risco.

Segurança de redes

Dentro do ambiente corporativo, o uso de todos os dispositivos estará sujeito aos protocolos de seguranças definidos pela equipe de TI, o que deve garantir uma conexão segura. Mas é importante que os usuários sejam instruídos sobre o acesso a redes externas e públicas.

Políticas de denúncias e incentivo a vigilância colaborativa

Neste artigo, salientamos como a participação de um bom gestor, ou gerente, pode fazer toda a diferença, mas também é importante fixar que uma campanha de conscientização só funciona quando todos participam.

Dentro deste contexto, uma das técnicas aplicáveis à maioria das empresas é o sentimento de dono e também a liberdade em denunciar situações suspeitas.

As denúncias devem poder serem realizadas por qualquer pessoa que tenha notado alguma ação ou pessoa estranha dentro da organização, funcionando como um ato de vigilância colaborativa.

Isso não apenas aumenta as medidas de proteção da empresa, como também envolve todos no processo e torna tudo mais real.

Outra possibilidade é liberar as denúncias de maneira anônima, embora isso diminua o engajamento real, traz mais segurança ao motorista sem a necessidade de passar por nenhum projeto.

Ferramentas Corporativas

Toda empresa possui ferramentas específicas utilizadas em cada setor para realização de ações e diferentes tarefas, medidas rotineiras ou de segurança.

Por exemplo, aqui na Compugraf, utilizamos a Microsoft Teams para nos comunicarmos.

Para o uso dessas ferramentas, também deve haver a mesma conscientização, e por isso é importante que elas sejam mencionadas durante as campanhas internas.

Conscientização para novos funcionários

Talvez a maior oportunidade que uma empresa possua para aproximar colaboradores de sua cultura vigente seja em seus primeiros contatos com a empresa.

Sendo uma importante fase para a companhia e candidatos, processos seletivos e os primeiros dias de funcionários recém-contratados representam um importante momento de intervenção cultural intermediado por um profissional da área de recursos humanos.

É através do próprio processo de seleção ou a rotina inicial que uma marca ou funcionário começa a identificar seu posicionamento no ambiente.

Essa oportunidade, em um momento de mudanças constantes, permite que novos colaboradores possam estudar o mindset necessário para cumprir as condições e se adaptar com aquele ambiente.

Perguntas importantes para novatos

  • Como as medidas de segurança fazem sentido para novos colaboradores?
  • O que novatos precisam saber para continuarem seguros
  • Como avaliar a segurança de mensagens

O começo é o melhor momento para se conscientizar.

Conclusão

Todos os colaboradores desempenham papéis importantes na administração de uma empresa de sucesso, e por isso é importante mentalizar que se sua equipe não está sendo conscientizada sobre suas ações, a organização está vulneráveis as consequências de suas falhas nesse sentido.

É por isso que tornou-se uma tarefa tão essencial para as empresas a adoção de programas de treinamento e conscientização sobre segurança da informação que inclua as diretrizes essenciais e necessárias para impedir incidentes cibernéticos iminentes.

Esse processo não deve ser em resposta a casos isolados, mas sim, fazer parte da cultura empresarial de maneira constante, disponibilizando novos materiais, implementando medidas na medida em que novidades aparecem e compartilhar os resultados como incentivo ao time.

Os maiores golpes cibernéticos começam a partir de ações humanas

Sabendo que o fator humano é uma das maiores vulnerabilidades de uma estratégia de cibersegurança, preparamos um guia pra quem quer saber mais sobre um dos maiores tipos de ataques da atualidade: A Engenharia Social.

O trabalho remoto é para sua empresa?

Converse com um especialista da Compugraf e descubra como implementar um sistema de trabalho remoto seguro e estável.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?