Talvez uma das maneiras mais efetivas de se entender crimes cibernéticos seja na compreensão do que possivelmente passou pela mente do hacker que o executou.
A perspectiva da vítima e a tecnologia que os conectou também é relevante.
As práticas de um criminoso cibernético podem possuir finalidades de interesse pessoal, político ou serem consequências de um trabalho contratado, e por isso as vítimas, em primeiro luga, devem ir além do ataque ao analisarem o contexto.
Será que a vítima representava algum interesse aparente?
Bem, por mais complexo e sádico que possa parecer, alguns atos também podem acontecer pela simples diversão do hacker, que deve se exibir para seu grupo de contatos ou simplesmente mostrar pra alguém o que pode fazer.
Em um antigo anterior, tratamos de descrever as possíveis vítimas e criminosos em um ataque de engenharia social.
Agora que já falamos um pouco sobre as motivações superficiais de um cibercriminoso, chegou a hora de compreendermos que nem todo hacker é, necessariamente, um cibercriminoso.
Existem diversos tipos de hackers e carreiras dentro da cibersegurança associados a eles, mas em geral, eles podem ser classificados de acordo com suas principais funções:
Hacker: Acessam computadores ou redes sem a autorização das vítimas.
Crackers: Forçam a entrada em sistemas para roubar dados ou destruí-los.
Whitehats: Quando não oficialmente contratados pelas próprias vítimas, costumam realizar ataques com o intuito de expor a vulnerabilidade para empresas sem que causem nenhum mal a elas.
Script Kiddies: São hackers inexperientes que possuem poucas ou nenhuma experiência, além de terem um conhecimento bem limitado das linguagens de programação.
Sendo assim, é errado definir a figura de um hacker como algo ruim, assim como outras áreas dentro da segurança da informação, é possível utilizar as habilidades do profissional para fins positivos ou negativos.
O que se passa na mente de um criminoso durante os crimes cibernéticos?
Quando falamos em vulnerabilidades em segurança da informação, é difícil não pensar nas medidas que cercam o fator humano, considerando ser uma das principais causas de crimes virtuais.
Uma medida que talvez ainda não seja tão popular no Brasil, mas certamente já é uma grande tendência mundo afora, são as campanhas de conscientização, que agem de maneira constante na rotina dos funcionários.
As importantes características das campanhas de conscientização de sucesso incluem o fato de que elas não ditam regras, mas sim, contam a história do porque as pessoas devem fazer as coisas de determinada maneira.
Entender as razões que levam pessoas a realizarm determinadas ações pode ser importante para compreender os momentos em que devem reagir e por isso auxiliar no processo de conscientização.
Confira algumas das motivações que um cibercriminoso pode ter para fazer vítimas:
Demonstração de Poder
Muitos cibercriminosos podem agir pela simples possibilidade de mostrarem o que podem fazer. A ação é comumente acompanhada de tentativas de solicitações de pagamento para que a prática não ocorra novamente.
Prestígio
Alguns hackers também podem realizar ataques para serem reconhecidos em sua comunidade, assim como também podem estar diantes de alguma disputa que partiu do mesmo lugar.
Motivações Financeiras
Pode ser que a única razão pela qual uma empresa tenha sido atacada é o quanto ela pode pagar para que a situação seja corrigida. Ou até mesmo profissionalmente na localização de falhas pagas pela própria contratante. Cibercriminosos podem ter motivações unicamente financeiras.
Motivações Ideológicas
Sendo os cibercriminosos seres humanos, também estão sujeitos a falhas e ações emotivas ou reativas a posicionamentos políticos e sociais.
Motivações Comerciais
Empresas podem atacar outras empresas em momentos que sejam favoráveis a ela, a nível comercial – como para comprometer a reputação ou reduzir as vendas em datas comemorativas.
A mudança de cultura com a conscientização sobre crimes cibernéticos
Uma boa cultura organizacional pode definir como a empresa funciona no dia-a-dia, seus processos, comportamento esperado e as rotinas que, somadas ao trabalho dos gestores de cada setor podem resultar no sucesso esperado.
Essa cultura é formada por valores e normas que impactam diretamente na rotina de todos os stakeholders como grupos e individualmente no modo de se relacionar e comunicar com outros colaboradores.
Além das melhorias de rotina, também espera-se que uma boa cultura sirva para potenciar e desenvolver as soft skills de todos os envolvidos.
E por isso que pode existir uma grande barreira, com o poder de separar funcionários dos objetivos definidos por uma empresa, quando não há aderência a cultura atual ou exista o desejo de alterações.
A importância da comunicação interna contra crimes cibernéticos
De todos os recursos que permeiam a saúde de uma empresa, a comunicação interna é um dos principais responsáveis pelo sucesso ou fracasso de uma estratégia de grande impacto como a cultura organizacional.
A verdade é que uma mudança de cultura – especialmente quando envolve motivos de extrema importância como a segurança da informação, deve incluir em seu planejamento os procedimentos necessários para tal fim.
Essa comunicação deve envolver o máximo de líderes possíveis.
Quanto ao profissional responsável pela organização da campanha, espera-se algumas características:
- Ele entende as ameaças de cada setor
Antes mesmo de traçar uma estratégia ou comunicar os times para realizar um brainstorm e entender o que seria importante para cada setor dentro da organização, o gestor de campanha realiza suas pesquisas e já possui uma visão funcional do status de segurança e boas alternativas de proteção.
- Reconhece o nível de mudanças necessárias para a organização
Não são todas as empresas que precisam passar por uma drástica transformação de comportamento e práticas para terem uma rotina mais segura, tudo vai depender da maturidade em que se encontram no processo de transformação digital. Um bom gestor avalia isso para apresentar as melhores ações, assim como:
- Analisar os setores que seguem melhor as políticas já existentes e quais precisarão de maior atenção.
- Reconhece o trabalho dos diferentes profissionais para garantir que determinadas medidas fazem sentido para suas rotinas.
- Analisa a cultura organizacional atual
O gestor de campanha de conscientização compreende o ponto de partida institucional da empresa, checando se todos os funcionários estão cientes da política de proteção de dados da empresa, ou até mesmo se a empresa já possui algum.
- Verifica se todos os funcionários estão bem informados sobre cibersegurança
As necessidades e práticas de segurança podem mudar no decorrer do tempo, e especialmente em planos contínuos como uma campanha de conscientização, é importante manter todos os funcionários com a mente aberta para continuar absorvendo as novidades e em nenhum momento acharem que estão atualizados e já sabem como se prevenir de todas as vulnerabilidades.
- Mantém a cultura de conscientização funcionando
Uma característica importante do gestor de conscientização é a criatividade e capacidade de tornar os planos contínuos e interessantes ao longo do tempo, reconhecendo que é um trabalho que na maioria dos casos não deveria ter um prazo para terminar.
Os cibercrimes podem ocorrer contra qualquer tipo de empresa, cabe aos gestores de segurança da informação buscarem as melhores maneiras de conscientizar todos os funcionários e encontrar as melhores soluções para sua organização.
Será que você é um mestre da segurança da informação?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua sempresa.