.jpg?w=730)
Jorge Cordenonsi, CIO da GRSA Com. Foto: IT Forum/divulgação.
Basta um simples clique em um link malicioso e a segurança de uma organização pode entrar em risco, mesmo com os melhores recursos tecnológicos.
De acordo com um relatório da Cloudflare publicado em agosto deste ano, o phishing por e-mail continua sendo um dos vetores mais usados e perigosos para ataques cibernéticos, bem como um dos mais difíceis de se defender.
Para enfrentar o desafio do fator humano em empresas dos mais diversos setores, o caminho é inevitável: precisa ar pela conscientização e treinamento de colaboradores.
“Segurança não é só tecnologia, pelo contrário, começa na conscientização. Então a gente tem teste de phishing, também fazemos muitos treinamentos presenciais e por vídeo. Os treinamentos são recorrentes e têm provas”, conta Lucia de Almeida, CIO da Veste, grupo dono de marcas como Le Lis, Dudalina e John John.
A executiva conta que a empresa tem uma estratégia de dar “estrelas” e bonificações conforme os funcionários vão cumprindo os treinamentos, além de reconhecimentos na mídia da companhia e cartilhas estendidas às famílias.
“O funcionário X está em primeiro lugar no ranking de segurança porque cumpriu vários protocolos. Já para quem cai em teste de phishing, é obrigatório fazer um treinamento específico. A gente faz do modo mais criativo para aumentar essa visão de que basta uma letrinha para realmente cair no phishing”, conta Almeida.
NEM TUDO É O QUE PARECE
Na GRSA Com, especializada em serviços terceirizados de alimentação, o time de TI foi além dos recursos tradicionais: criou uma ação de conscientização envolvendo comida.
Com um carrinho de picolé, a equipe ou nos escritórios distribuindo os doces para milhares de colaboradores, que escolhiam seu sabor favorito. Ao abrirem a embalagem que dizia chocolate, por exemplo, se deparavam com o sabor limão.
“Na hora que a pessoa olhava isso, a fisionomia mudava porque ela já imaginava que ia abrir e ver um sorvete de chocolate. Aí nós explicávamos verbalmente o conceito do phishing dando como exemplo o picolé”, conta Jorge Cordenonsi, CIO da GRSA Com.
O executivo conta que foi preciso desenvolver algo criativo porque o índice de participação nos programas tradicionais era extremamente baixo, menor que 10%.
Neles, o usuário entra, lê uma mensagem no e-mail, tem um link para clicar, assistir a um vídeo e depois fazer uma prova no final.
“Aí nós chegamos à conclusão de que precisávamos ter algo extremamente criativo e inovador para envolver as pessoas nos conceitos de cibersegurança. Chamar atenção para que a pessoa pudesse entender o que estamos falando”, conta Cordenonsi.
A conscientização se torna um desafio ainda maior em uma empresa com alto nível de rotatividade. Na GRSA, mil funcionários entram e outros mil saem todos os meses. No Brasil, a companhia totaliza 25 mil colaboradores e cerca de 7 mil deles usam computadores.
Nos testes de phishing da organização, o índice de cliques em links indesejados chegava a 20%. Após a ação, a porcentagem de cliques foi reduzida, mas o principal ganho foi na quantidade de credenciais que foram disponibilizadas.
“Isso significa que a pessoa fez um clique no link indesejado, mas parou na hora em que foram pedidos usuário e senha. Ela não foi pra frente”, conta o CIO.
A GRSA monitora em seu Centro de Operações de Segurança (SOC, na sigla em inglês) 1,2 mil tentativas de ataques por segundo.
“Isso foi muito efetivo, teve um alcance muito muito bom. Agora nós estamos com o desafio de continuar, mas de bolar outra coisa. Eu aprendi que a gente tem que criar coisas diferentes na parte de conscientização”, destaca Cordenonsi.
MEXENDO NO BOLSO
No Hospital do Coração (HCor), a motivação para aprender sobre segurança é bastante convincente: mais dinheiro no bolso.
A instituição incluiu os treinamentos individuais de segurança da informação e proteção de dados na renda variável do funcionário. Para ele ganhar o bônus do ano seguinte, um dos critérios é fazer todos os treinamentos relativos ao assunto.
“Hoje, na área da saúde, eu posso atrelar os treinamentos institucionais à aplicação de bônus ou qualquer renda variável porque eles garantem a segurança do paciente. Tudo que vá garantir a segurança do paciente eu consigo atrelar à meta de entrega do colaborador”, explica Alex Vieira, CIO do HCor.
O executivo conta que, nos últimos três anos, a instituição realizou investimentos na infraestrutura essencial para um ambiente seguro, mas a maioria das ameaças não vêm de ataques complexos e sim das pequenas falhas no dia a dia.
No SOC do hospital, uma média de 200 a 240 milhões de tentativas ataques é registrada mensalmente. Já no fator humano, a instituição tem 3,5 mil funcionários e um fluxo diário de 11 mil pessoas.
“Esse projeto que a gente vem executando agora no Hcor é o pós-investimento técnico. Realmente é um investimento na aculturação das pessoas para precaver possíveis ataques. A ideia não é tolher ninguém, mas sim mostrar que cada um é responsável pela segurança, não só a área de tecnologia”, explica Vieira.
O TAMANHO DO PROBLEMA
Segundo o site CISO Advisor, o estudo da Cloudflare analisou 250 milhões de mensagens de e-mail maliciosas enviadas entre maio de 2022 e maio deste ano. Com isso, descobriu-se que links enganosos representavam 35,6% de todas as ameaças detectadas.
Além disso, os golpistas se tornaram cada vez mais habilidosos em fazer suas mensagens parecerem legítimas, apropriando-se de gráficos e formatação usados por remetentes legítimos.
As consequências de clicar em um link malicioso podem variar de coleta de credenciais, execução remota de código e comprometimento da rede.
Um exemplo prático recente vem da MGM Resorts, empresa de hotéis e cassinos ao redor do mundo, que sofreu uma grande crise causada por um ataque de phishing básico.
Segundo relata o site The Verge, um grupo de cibercriminosos encontrou um funcionário da área de TI da empresa no Linkedin. De posse apenas do seu nome, ligou para o help desk da companhia se ando pela pessoa e conseguiu seus dados de o.
Com a senha, conseguiu atacar sistemas de cassinos, de chaves digitais e um programa de recompensas em diversas localidades.