Insights > Blog

Cipher alerta: é preciso educar para se proteger

Usar os dispositivos com boas práticas de segurança da informação é um dos grandes desafios para as empresas no cenário da Transformação Digital, Home Office, 5G, IoT, regulamentações de proteção de dados e explosão de ataques cada vez mais inteligentes, onde a IA e a engenharia social são as maiores armas do cibercrime.

Pandemia. 2021. Cenário de guerra: transformação digital, home office, IoT, 5G, regulamentações e megavazamentos de dados. De um lado as empresas, com seu exército tecnológico e revisões de processos, do outro os cibercriminosos, onde a principal arma é a engenharia social em relação às pessoas e adicionalmente a inteligência artificial e ataques bem planejados. Nessa guerra, as organizações perdem se não treinar os seus colaboradores sobre boas práticas de segurança da informação.

Se educado e conscientizado, não há dúvida que o ser humano é a chave para portas abertas ou fechá-las quando se trata de proteção de dados. No entanto, a conscientização ainda precisa avançar como uma disciplina essencial dentro do time de segurança da informação. “Portanto, o que temos discutido é como conscientizar as pessoas. Isso é um grande desafio”, destaca David Tudino, Business Development Manager LATAM da Cipher.

Para atingir bons resultados com o Programa de Conscientização é recomendável que ele nasça dentro da área de Segurança da Informação e preferencialmente com um profissional dedicado para o seu desenvolvimento, capaz de avaliar as ações educativas, métricas e reportar para o board. “Geralmente as Universidades Corporativas das empresas estão na mão do RH e programas de awareness devem entrar com base em cibersegurança”, observa Tudino. Esse profissional irá orquestrar as iniciativas do Programa de Awareness alinhado com o gestor de Segurança da Informação e, com a entrada em vigor da LGPD, também faz frente nas iniciativas de privacidade.

Diante da descentralização da rede com o trabalho remoto, muitas empresas perderam o controle sobre o que os colaboradores estão fazendo e estão utilizando o BYOD para fazer a proteção dos dados. “Mas, dependendo do usuário isso também pode ser um risco porque o dispositivo é pessoal e, portanto, ele pode usar HDs externos, pen drive, que podem estar contaminados. Muitas empresas bloqueiam porta USB, mas dentro de casa talvez isso seja inviável. Nem todas as empresas também sequer tinham controle da porta USB e sequer de monitoração. Então, se eu tiro o USB dentro da empresa e em casa eu espeto algum dispositivo posso alastrar um vírus e, inclusive, com um parceiro”, reflete Tudino.

Isso vale para as redes sociais, por exemplo. “Digamos que o administrador de rede social tinha uma credencial e saiu da companhia. Se a empresa não tem um cofre de senha e quem controle isso, a exposição ou um golpe do ex-funcionário ou até alguém se passando por ele é bastante provável. E com a LGPD isso vai se agravar ainda mais. No cofre de senha é possível guardar as senhas de parceiros, inclusive, como as agências de marketing”.

De uma forma ou de outra, independente da tecnologia e a interação com os dados da empresa, de forma geral é fundamental lembrar que há usuários de diversas áreas e a falta de conscientização pode impactar num simples ato de tirar uma self com a carteirinha de vacinação, mostrando todos os dados daquele profissional e, por meio de engenharia social, o atacante pode abrindo portas, janelas, armários até chegar no objetivo de invadir o ambiente corporativo. “Um dos malwares que está se alastrando na Europa é o brasileiro BIZARRO porque usa da malandragem e muita técnica de engenharia social para invadir os sistemas e se vale do emocional, da vulnerabilidade das pessoas”, ilustra Tudino, que também é especialista em neurociência.

Maturidade

Embora a conscientização seja um termo recorrente entre os executivos das empresas, o Brasil está um pouco atrás comparado com a Europa. Para Tudino, o país começa a amadurecer daqui três a cinco anos porque ele aponta que há uma grande necessidade de formação de pessoas conscientes. “O simples fato de uma área administrativa acessar um link malicioso pode trazer um impacto significativo para a empresa. Exemplo: o RH vai clicar num link malicioso de um candidato, de vaga que ele publicou. Assim, o hacker pode acessar o RH e fazer movimentos laterais”.

Por isso, é tão importante ter um profissional dedicado ao Programa de Conscientização e este deve estar alinhado com as diretrizes do RH e times de comunicação interna, externa e marketing da companhia para obter maior efetividade e engajamento nas ações educativas.

“Já participei de diversas reuniões e quando fazíamos a apresentação dos resultados de awareness, o cliente sempre trazia um head de uma área e assim foi possível mostrar os resultados e o impacto de cada setor sobre a proteção de dados. Resultado: nas reuniões seguintes, o cliente disse que graças ao Programa de Conscientização, tenho gente batendo na porta de gente dizendo que tem e-mail suspeito. Por isso, ele chama a segurança da informação antes de tomar uma ação e livra a empresa de uma catástrofe cibernética”. Tudino acredita que usuários conscientes vão trabalhar junto com a segurança da informação. “Por isso é tão importante medir constantemente como estou, se é suficiente fazer o que estou fazendo e há um turn over natural nas empresas”.

Conscientização da área de segurança

O que pode ser óbvio para mim talvez não seja para você. Há vários níveis de profissionais de segurança e eles também devem ser conscientizados. Afinal, são humanos e falham. Mesmo que o colaborador seja um especialista. “Já peguei profissional da área de segurança que foi falar com outra pessoa e não deslogou a máquina dele. Infelizmente há profissionais de segurança que têm uma postura arrogante. Prefiro ser cobrado sobre algo que fiz do que ter minha credencial roubada, um e-mail meu passando por aí que não foi eu que enviei ou alguém ter colocado um artefato e ser incriminado”.

Portanto, quando fazemos a conscientização a prática se torna como um “lembrete”, um exercício contínuo para mudança cultural e postura sobre como as pessoas usam seus dados e das organizações e aprendam sobre como é possível reduzir os riscos de fraudes, roubo de informações, ataques. O mundo do cibercrime cada dia mais se mistura aos antigos bandidos. Os hackers têm a ciência de como hackear a mente humana com artimanhas que induzem as pessoas a agir de modo que o atacante consiga o que deseja.

Por: David Tudino – Business Development Manager LATAM da Cipher

Fonte: SocialSEC – via Capital Informação Assessoria de imprensa.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

Cipher alerta: é preciso educar para se proteger

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais