Conscientizar funcionários sobre as ferramentas de trabalho tornou-se importante assim como o uso dos recursos.
Para a segurança e que seja possível conscientizar funcionários sobre as diversas soluções utilizadas dentro de uma organização, é preciso que além do controle de suas potências e vulnerabilidades, exista o bom gerenciamento de atualizações e uso seguro.
Como a tarefa pode tornar-se cada vez mais complexa com o tamanho da empresa, a melhor maneira de fazer isso é garantir um bom sistema de governança de sistemas, permitindo que somente os softwares definidos pelos gestores de segurança em TI possam ser executados, e o conhecimento dos gerentes de cada setor.
Ainda que não sejam todas as empresas que possam investir em profissionais dedicados a aplicação de políticas e mecanismos de segurança da informação, é um erro achar que a cibersegurança tem uma solução simples e universal.
Soluções baseadas em softwares funcionam para finalidades específicas, assim como câmeras de segurança são direcionadas ao monitoramento de perímetros definidos.
Dentre as principais vulnerabilidades e ataques que podem ser realizados contra um usuário corporativos, estão alternativas que também podem ocorrer a partir de outras camadas de ataque, por isso, é importante considerar que as campanhas de conscientização sobre segurança da informação representam apenas um dos pilares de segurança.
Ações de cibercriminosos podem resultar em perdas e vazamentos de dados, assim como o sequestro de informações e o espalhamento de notícias falsas.
Essas resoluções, no entanto, podem ocorrer a partir de diversos fatores, como por exemplo:
Acesso a conteúdos impróprios, falsos ou ofensivos
Usuários desinformados podem utilizar a rede pessoal ou corporativa para acessar conteúdos impróprios, falsos ou ofensivos – intencionalmente ou não, esses destinos possuem grandes chances de estarem infectados.
Contato com pessoas mal-intencionadas e furto de identidade
Estar em frente a uma tela significa que a maioria das pessoas com quem se comunica não sabe se você realmente é quem diz que é, e isso vale para os dois lados. Alguém pode fingir sem você ou até mesmo um colega do trabalho.
Compartilhamento e recebimento de notícias e informações falsas
Da mesma maneira que alguém pode se passar por uma outra pessoa, é possível compartilhar ou/e receber informações que nem sempre condizem com a verdade, a prática ganhou grande destaque e hoje é popularmente como fake news.
Excesso de informações
Com as facilidades da tecnologia tornou-se possível as sobrecargas de informação, algo que embora não represente um risco a curto prazo, pode resultar em diversos problemas para a saúde mental dos usuários, que também podem torná-los mais vulneráveis a ataques como o phishing. Esse excesso pode ser uma consequência orgânica ou intencional, partindo de ataques como os Spams.
Violação de Dados
A violação de dados pode ocorrer a partir de um simples compartilhamento de arquivos entre dois colaboradores, mas também pode ser causada após algum ataque causado pelo cibercriminoso.
Mau uso de recursos, softwares e redes
Softwares desatualizados não devem ser a única preocupação da infraestrutura dos usuários. Tudo o que cibercriminosos precisam para obter senhas salvas em navegadores como o Google Chrome, e o Microsoft Edge pode ser 2 minutos no dispositivo da vitima, que pode ter se ausentado da mesa para pegar um café.
Os rastros de navegação de um usuário
O uso de qualquer dispositivo digital resulta na geração de resíduos que ficam alocados em algum local que será descartado em algum momento pelo aparelho (caso possua o sistema) ou manualmente com algum aplicativo específico para limpeza.
Além de poder resultar em menor performance e lentidão quando acumulados, esses resíduos podem tornar os dispositivos vulneráveis por representarem o lixo acumulado pelo sistema que ainda pode ser recuperado.
Cookies
Cookies são os responsáveis por armazenar, temporariamente, a maior parte dos resíduos deixados por usuários, e apesar de serem arquivos pequenos podem armazenar qualquer tipo de dados, incluindo dados como o e-mail do usuário ou informações sensíveis como seu nome e cidade.
Devido a isso, muitos sites – especialmente com a aplicação da GDPR na Europa, já avisam seus usuários de que certas informações serão armazenadas por cookies, dando a privacidade (nenhum armazenamento por cookies) como opção ao mercado.
Não limitados a isso, os cookies também podem conter as seguintes informações:
Login e Senhas
Muitos sites podem armazenar login e senha do usuário a partir de cookies, oferecendo a “comodidade” do acesso rápido. O problema é que a prática pode expor a privacidade dos usuários ao permitir o acesso facilitado por pessoas externas.
Histórico de Navegação
O histórico de acessos é outro recurso que pode ser salvo por cookies, e da mesma maneira que no caso de Login e Senhas, pode expor a privacidade do indivíduo.
Desempenho do computador
Ainda que possuam um peso e registro de ações extremamente leves, é possível que um computador perca em performance quando ocorrer a oferta final no sistema devido ao seu acumulo.
Cache
Cache é um local de armazenamento de dados temporários, como os resíduos de uso de redes sociais e demais aplicativos, facilitando o acesso a eles posteriormente, especialmente usado em áreas de login.
Os grandes beneficiados do sistema são os servidores web e seus sites, que ao registrarem informações por tempos pré-determinados podem reduzir o consumo de banda na recorrência de acesso em curtos períodos de distanciamento.
A limpeza de cache força páginas a serem carregadas desde o zero, mas a mesma só aconteça após momentos pré-configurados, podendo ocorrer de maneira forçada com o uso do navegador ou até mesmo como regra por parte dos administradores do site.
GDPR e LGPD
Com a chegada da GDPR, diversos sites ao redor do mundo e até mesmo como padrão em plataformas de conteúdo como o WordPress, passaram a ter páginas de política de uso e armazenamento de dados que muitas vezes incluem também a necessidade de aceitar o armazenamento de cookies do site.
Embora ainda não tenha entrado em vigor no Brasil, a Lei Geral de Proteção de Dados terá a mesma demanda quando em vigor no início do próximo ano.
Como criar uma campanha memorável de conscientização de cibersegurança
Campanhas de conscientização sobre segurança da informação são essenciais para educar uma equipe enquanto ocorre a produção de um projeto.Confira 12 etapas para criar uma campanha forte e memorável:
Foco em problemas reais
Foque no que é realmente um problema para sua organização.Embora a ideia de resolver todos os problemas de uma vez seja algo sedutor, mas nenhuma campanha que tenta acertar tudo deve funcionar. O melhor é focar nos principais conceitos e somente quando os funcionários sentirem-se confortáveis com aquilo, partir para outras medidas.
Reforço nas principais medidas
Verifique cada setor para tentar compreender as necessidades de segurança de cada um. Política de Segurança da Informação
Segmentação para os diferentes grupos de trabalho
Reconhecendo as necessidades de cada setor, chegou a hora segmentar as melhores mensagens para cada um, pensando no que seria mais efetivo para determinado público e o que seria revendido.
Repetição de mensagens em diferentes canais
A repetição de canais é um recurso que funciona no marketing digital e com toda certeza deve auxiliar no marketing de conteúdo e offline, também. Repita as mensagens da campanha em diferentes canais internos e até mesmo formatos, caso houver a opção, isso pode ajudar os funcionários a fixarem-a melhor
Utilização de influenciadores para transmissão de mensagens
Para uma organização, um influenciador não precisa necessariamente ser alguém famoso, pode ser um líder de equipe, por exemplo.Compartilhar histórias de gestores ou até mesmo do dono da empresa pode ser inspirador para muita gente.
Desafio de crenças em cibersegurança
É muito importante que alguns profissionais sejam desafiados para que a campanha seja vista com bons olhos. Selecione, junto a equipe de TI, aqueles convidados e profissionais seniors podem receber desafios específicos que os torna vulneráveis também.
Ilustração de situações
Durante a campanha, utilize formas e cores distintas, busque trazer o máximo de atenção para as peças da campanha, além de verificar boas referências para tornar a campanha única.
Exemplos de ocorrências anteriores
A empresa em questão já sofreu algum tipo de ataque no passado? Trazer ocorrências passadas é uma ótima maneira de criar consciência sobre como certos ataques são possíveis e não estão longes da empresa
Inclusão de informações relevantes para além do trabalho
Ninguém deve questionar um bom plano de conscientização, mas considerando que muitos funcionários podem trabalhar de dispositivos celulares ou até mesmo o computadores remotos, porque não pensar em soluções que possam levar e ser aplicando de casa, também?
Contar histórias
Além de um ótimo e estratégico design, a melhor maneira de atrair a atenção dos funcionários, é com textos que chamem sua atenção, e uma das maneiras de se obter esse resultado é através dos textos persuasivos do storytelling.
Justificar os motivos
É sempre bom lembrar, as pessoas gostam de saber o porquê de estarem fazendo alguma coisa. Deixe bem claro as razões de certas medidas estarem sendo tomadas para que o processo de transição faça sentido para todas as partes envolvidas.
Compartilhar resultados
Compartilhe os resultados de todas as campanhas com as pessoas envolvidas, colete feedbacks, alterações (caso necessário) e continue com as campanhas de conscientização.
Medidas Preventivas no dia a dia corporativo
Embora partam de uma realidade generalizada, é importante reforçar que as medidas podem ser úteis mas que diferentes empresas e localidades podem possuir necessidades diferentes sobre o que funciona para seus ambientes.
Política da mesa organizada
Esqueça o excesso de itens de escritório, como papéis e impressões em sua mesa de trabalho. Para garantir a segurança de olhares indiscretos, somente itens que estão sendo utilizados naquele momento devem estar presentes e informações sensíveis devem ser consumidas discretamente.
O uso de aparelhos pessoais (BYOD)
Expandir a informação de que os dispositivos dos colaboradores, mesmo quando pessoais, passam a ter as mesmas responsabilidades, regras e políticas de segurança de qualquer outra máquina corporativa a partir do momento que se conectam a rede.
Gerenciamento de Dados
É importante que todos os funcionários tenham noção da importância dos dados com os quais trabalha, protegendo cópias e compartilhamentos não autorizados, mesmo que o documento não apresente dados de extrema relevância, pois assim é possível criar a cultura de responsabilidade, proteção e sentimento de dono por esses dados.
Mídia removível
Não é nada incomum ver um funcionário plugando um pendrive em seu dispositivo simplesmente para ver o que se encontra nele armazenado ou simplesmente a quem pertence, o problema é que a mídia pode também ser um cavalo de troia. Nesses casos, o mais recomendável é consultar o gerente de SI para realizar os testes necessários.
Manter gavetas e armários fechados
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Não compartilhar login e senha com nenhum colega de trabalho
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Coletar documentos impressos logo em seguida
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, instalar somente softwares e aplicativos de fontes confiáveis.
Manter todo o sistema atualizado
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
Não memorizar senhas em computadores públicos ou de uso compartilhado
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.
Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.
Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.
Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
Desconfiar de todo e-mail com remetente desconhecido que possui anexos e links
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.
Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
O uso de soluções para as mais diversas finalidades é diversificado de acordo com fatores como o setor e o tamanho da organização, e por isso é importante que os gestores de cada área tenha plena consciência das vulnerabilidades das aplicações utilizadas por sua equipe, pois só assim será possível treinar sua equipe adequadamente.
Os maiores golpes cibernéticos começam a partir de ações humanas
Sabendo que o fator humano é uma das maiores vulnerabilidades de uma estratégia de cibersegurança, preparamos um guia pra quem quer saber mais sobre um dos maiores tipos de ataques da atualidade: A Engenharia Social.
O trabalho remoto é para sua empresa?
Converse com um especialista da Compugraf e descubra como implementar um sistema de trabalho remoto seguro e estável.
