No artigo de novembro, comentamos sobre ferramentas que auxiliam e aumentam a proteção no elo mais fraco da “corrente” de cibersegurança: o usuário final. Mas mesmo com diversas ferramentas no ambiente e “agentes” instalados nos endpoints, ainda recebemos notícias de grandes fraudes, infecções e roubos de informações. Por quê? A resposta para essa dúvida está no simples fato de que a comunicação e a exploração acontecem entre “pessoas”, muitas vezes sobrepondo o fator tecnológico.

Se um atacante avançado realmente deseja obter vantagem financeira, dados confidenciais ou qualquer tipo de fraude, na maioria das vezes, o alvo final não será o ambiente tecnológico de uma empresa, mas os seus colaboradores.

Pensem comigo: seria mais fácil realizar uma busca no Linkedin, identificar as pessoas-chave da organização-alvo, entender quais são os seus interesses e gostos por meio de redes sociais e, a partir disso, bolar algum tipo de ataque de phishing e tentar realizar uma “invasão” remota? Ou seria mais fácil conseguir ultrapassar os milhões investidos em ferramentas de segurança para, depois de centenas de tentativas, ter a grande chance de obter acesso a um serviço ou servidor interno, para só depois começar a elevar o privilégio, identificar sistemas-chave, etc?

Com certeza a primeira opção, onde o requisito para realizar esse ataque nas maiorias das vezes não é técnico e sim mais “cara de pau” ou criativo, já que a possibilidade de se comprar malwares, ransomware e outros artefatos maliciosos na internet já é uma realidade.

E se o atacante pode ter acesso às pessoas da nossa organização, desde aqueles com menos privilégios de acesso até os “administradores”, como protegê-los? A verdade é: você não pode, isso depende 99,9% deles próprios. A partir do momento que entendemos (e aceitamos) isso, nossa missão como profissionais da área de segurança da informação se torna mais objetiva e clara (não fácil!).

Um estudo recente realizado pela Proofpoint mostrou dados alarmantes em uma análise feita com mais de seis mil profissionais dos mais diversos setores e cargos, em seis países diferentes, onde 33% dos entrevistados não sabiam ou erraram na explicação sobre o que era PHISHING. Em torno de 64% também não souberam dizer o que era RASOMWARE e 32% sobre o que era MALWARE.

Fizeram a seguinte pergunta para os entrevistados: “Caso você estiver em um local conhecido como um aeroporto ou hotel, é correto dizer que você pode confiar na internet disponibilizada nestes locais para você acessar e manter os seus dados seguros?” A resposta foi positiva para 39%.

Muitas vezes achamos que a pessoa sentada ao nosso lado ou até mesmo da nossa equipe saberia diferençar um e-mail fraudulento oferecendo uma televisão de 55” por 2.000 reais. Pode ser que sim, mas e se enviarem um e-mail se passando pela Netflix oferecendo apenas 10% de desconto nas mensalidades por 3 meses, eles saberiam também?

Novamente, a partir do momento que entendemos e aceitamos que a proteção do usuário final baseado nesses tipos de ataques depende mais deles do que de nós (profissionais de SI), é possível desenharmos planos e formas de conscientização através de treinamentos, simulações de ataques para aumentarmos cada vez mais o nível de entendimento sobre o assunto e formas de identificar uma fraude, um ataque de engenharia social ou uma promoção real!

Lembro, ainda, que aquele ataque de phishing simulado que você realizou há 6 meses na sua empresa não é o suficiente. Lembretes devem ser enviados, pelo menos, quinzenalmente. Compartilhar com os colaboradores exemplos de ataques de phishing ou engenharia social recebidos na sua empresa – e as ações tomadas para identificar que era uma fraude – é extremamente importante. Essas informações, junto com recomendações de melhores práticas, de como os colaboradores devem utilizar redes sociais, são tão importantes quanto as outras precauções.

Infelizmente, é por meio dessas pequenas brechas, dos pequenos “minutos” de descuido que os maiores ataques, vazamentos ou infecções acontecem. E é nossa responsabilidade realizar essa passagem de conhecimento!!

Caso tenham alguma dúvida adicional ou até alguns exemplos de materiais de conscientização, fiquem à vontade para entrar em contato. Espero ter esclarecido essas questões de alguma forma. Nos vemos no próximo mês!