IDEIAS

Como os CIOs conscientizam sobre phishing 5u5769

Picolés trocados e bonificações financeiras ajudam a reforçar a segurança das empresas. 4x4ly

21 de setembro de 2023 - 12:54
Jorge Cordenonsi, CIO da GRSA Com. Foto: IT Forum/divulgação.

Jorge Cordenonsi, CIO da GRSA Com. Foto: IT Forum/divulgação.

Basta um simples clique em um link malicioso e a segurança de uma organização pode entrar em risco, mesmo com os melhores recursos tecnológicos.

De acordo com um relatório da Cloudflare publicado em agosto deste ano, o phishing por e-mail continua sendo um dos vetores mais usados e perigosos para ataques cibernéticos, bem como um dos mais difíceis de se defender.

Para enfrentar o desafio do fator humano em empresas dos mais diversos setores, o caminho é inevitável: precisa ar pela conscientização e treinamento de colaboradores. 

“Segurança não é só tecnologia, pelo contrário, começa na conscientização. Então a gente tem teste de phishing, também fazemos muitos treinamentos presenciais e por vídeo. Os treinamentos são recorrentes e têm provas”, conta Lucia de Almeida, CIO da Veste, grupo dono de marcas como Le Lis, Dudalina e John John.

A executiva conta que a empresa tem uma estratégia de dar “estrelas” e bonificações conforme os funcionários vão cumprindo os treinamentos, além de reconhecimentos na mídia da companhia e cartilhas estendidas às famílias. 

“O funcionário X está em primeiro lugar no ranking de segurança porque cumpriu vários protocolos. Já para quem cai em teste de phishing, é obrigatório fazer um treinamento específico. A gente faz do modo mais criativo para aumentar essa visão de que basta uma letrinha para realmente cair no phishing”, conta Almeida. 

NEM TUDO É O QUE PARECE

Na GRSA Com, especializada em serviços terceirizados de alimentação, o time de TI foi além dos recursos tradicionais: criou uma ação de conscientização envolvendo comida.

Com um carrinho de picolé, a equipe ou nos escritórios distribuindo os doces para milhares de colaboradores, que escolhiam seu sabor favorito. Ao abrirem a embalagem que dizia chocolate, por exemplo, se deparavam com o sabor limão.

“Na hora que a pessoa olhava isso, a fisionomia mudava porque ela já imaginava que ia abrir e ver um sorvete de chocolate. Aí nós explicávamos verbalmente o conceito do phishing dando como exemplo o picolé”, conta Jorge Cordenonsi, CIO da GRSA Com. 

O executivo conta que foi preciso desenvolver algo criativo porque o índice de participação nos programas tradicionais era extremamente baixo, menor que 10%. 

Neles, o usuário entra, lê uma mensagem no e-mail, tem um link para clicar, assistir a um vídeo e depois fazer uma prova no final.

“Aí nós chegamos à conclusão de que precisávamos ter algo extremamente criativo e inovador para envolver as pessoas nos conceitos de cibersegurança. Chamar atenção para que a pessoa pudesse entender o que estamos falando”, conta Cordenonsi.

A conscientização se torna um desafio ainda maior em uma empresa com alto nível de rotatividade. Na GRSA, mil funcionários entram e outros mil saem todos os meses. No Brasil, a companhia totaliza 25 mil colaboradores e cerca de 7 mil deles usam computadores.

Nos testes de phishing da organização, o índice de cliques em links indesejados chegava a 20%. Após a ação, a porcentagem de cliques foi reduzida, mas o principal ganho foi na quantidade de credenciais que foram disponibilizadas.

“Isso significa que a pessoa fez um clique no link indesejado, mas parou na hora em que foram pedidos usuário e senha. Ela não foi pra frente”, conta o CIO.

A GRSA monitora em seu Centro de Operações de Segurança (SOC, na sigla em inglês) 1,2 mil tentativas de ataques por segundo.

“Isso foi muito efetivo, teve um alcance muito muito bom. Agora nós estamos com o desafio de continuar, mas de bolar outra coisa. Eu aprendi que a gente tem que criar coisas diferentes na parte de conscientização”, destaca Cordenonsi.

MEXENDO NO BOLSO

No Hospital do Coração (HCor), a motivação para aprender sobre segurança é bastante convincente: mais dinheiro no bolso.

A instituição incluiu os treinamentos individuais de segurança da informação e proteção de dados na renda variável do funcionário. Para ele ganhar o bônus do ano seguinte, um dos critérios é fazer todos os treinamentos relativos ao assunto.

“Hoje, na área da saúde, eu posso atrelar os treinamentos institucionais à aplicação de bônus ou qualquer renda variável porque eles garantem a segurança do paciente. Tudo que vá garantir a segurança do paciente eu consigo atrelar à meta de entrega do colaborador”, explica Alex Vieira, CIO do HCor.

O executivo conta que, nos últimos três anos, a instituição realizou investimentos na infraestrutura essencial para um ambiente seguro, mas a maioria das ameaças não vêm de ataques complexos e sim das pequenas falhas no dia a dia. 

No SOC do hospital, uma média de 200 a 240 milhões de tentativas ataques é registrada mensalmente. Já no fator humano, a instituição tem 3,5 mil funcionários e um fluxo diário de 11 mil pessoas.

“Esse projeto que a gente vem executando agora no Hcor é o pós-investimento técnico. Realmente é um investimento na aculturação das pessoas para precaver possíveis ataques. A ideia não é tolher ninguém, mas sim mostrar que cada um é responsável pela segurança, não só a área de tecnologia”, explica Vieira.

O TAMANHO DO PROBLEMA

Segundo o site CISO Advisor, o estudo da Cloudflare analisou 250 milhões de mensagens de e-mail maliciosas enviadas entre maio de 2022 e maio deste ano. Com isso, descobriu-se que links enganosos representavam 35,6% de todas as ameaças detectadas. 

Além disso, os golpistas se tornaram cada vez mais habilidosos em fazer suas mensagens parecerem legítimas, apropriando-se de gráficos e formatação usados por remetentes legítimos.

As consequências de clicar em um link malicioso podem variar de coleta de credenciais, execução remota de código e comprometimento da rede.

Um exemplo prático recente vem da MGM Resorts, empresa de hotéis e cassinos ao redor do mundo, que sofreu uma grande crise causada por um ataque de phishing básico. 

Segundo relata o site The Verge, um grupo de cibercriminosos encontrou um funcionário da área de TI da empresa no Linkedin. De posse apenas do seu nome, ligou para o help desk da companhia se ando pela pessoa e conseguiu seus dados de o. 

Com a senha, conseguiu atacar sistemas de cassinos, de chaves digitais e um programa de recompensas em diversas localidades.

Leia mais 6z23s

ATAQUE

Hacker suspeito de invadir Tribunal de SP é preso 6i3713

Há 622 dias
DADOS

O futuro da saúde é o Open Health? 6x124u

Há 621 dias
RAPA

Hackers clonam celular e fazem PIX 4e20x

Há 623 dias
VENCEDORES

Conheça os executivos de TI do ano 6s3l5a

SEGURANÇA

Vazamento na Unimed Porto Alegre? 6r116w

SEGURANÇA

Banco Central vai abrir dados do Pix 4j143i