Simulações podem fortalecer elo mais fraco da segurança online: você

Treinamentos de phishing podem ser a melhor maneira de ensinar usuários a evitá-los no mundo real, diz empresa de treinamento em segurança.

O seu PC está bloqueado com uma senha forte e complexa quando não está em uso e seus dispositivos móveis são protegidos por senha. Você tem uma ferramenta de segurança multiplataforma para bloquear o tráfego indesejado em seus PCs e dispositivos móveis, prevenir o comprometimento de ataques de malware e proteger seus dados privados. Mesmo com a melhor das melhores medidas de segurança, porém, ainda há um calcanhar de Aquiles que supera tudo: você.

Pense nisso como se fosse a sua casa. Você pode ter grades nas janelas e trancas de força-industrial em portas de aço sólido. Você pode ter câmeras de vigilância, sistema de alarme, e um quarto do pânico à prova de bombas. Mas, se um cara vestido como um reparador de cabos bater à sua porta dizendo que está trabalhando em um problema que afeta o seu bairro e você deixá-lo entrar, toda essa proteção não serve de nada.

Isso é mais ou menos como você e pessoas em geral são: o elo mais fraco, quando se trata de segurança digital. As ferramentas que você possui podem proteger contra ameaças conhecidas e pode até mesmo identificar e bloquear atividades suspeitas de muitas ameaças desconhecidas.

Mas se você clicar em um link malicioso em um e-mail phishing, as ferramentas de segurança são mais propensas a ver a atividade como legítima, porque você a iniciou. Se você abrir um anexo de um e-mail que afirma ser de algum órgão público ou mesmo de bancos, e preencher as informações pessoais e sigilosas conforme solicitado, há muito pouco que as ferramentas de segurança podem fazer para proteger você.

Ataques simulados

Um artigo recente no Washington Post fala sobre empresas que treinam usuários sobre informações e segurança em computadores. A ideia é que, se eles estiverem mais cientes das ameaças e como reconhecê-las, serão menos propensos a se tornarem vítimas. A premissa parece bastante lógica, mas não é nova. Empresas têm realizado treinamentos de segurança por mais de uma década, e ainda muitos dos ataques mais bem sucedidos nos últimos anos podem ser atribuídos a indivíduos que baixaram a guarda e abriram a porta para os atacantes.

Há uma parte do artigo, no entanto, que soa como uma boa ideia e parece ser mais eficaz no aumento da conscientização. A Northrop Grumman, uma importante empresa de defesa, realiza ataques simulados contra os usuários. A companhia envia ataques de phishing para seus próprios usuários, que parecem ser provenientes de fontes de terceiros desconhecidas. Se caírem na armadilha, usuários serão redirecionados a um site que diz que cometeram um erro, e oferece aulas adicionais de como evitar tais ataques no futuro.

A maioria dos usuários não presta atenção em apresentações de conscientização de segurança, ou clicam cegamente em ferramentas online de treinamento apenas para “completar” o processo. Um exercício que realmente pega alguém em um golpe é uma maneira muito mais eficaz de superar o arrogante “não vai acontecer comigo”.

Uma ferramenta de treinamento semelhante seria bom para os consumidores também. Bancos, grandes varejistas e outras empresas que são alvos frequentes ou usados como isca para ataques de phishing devem realizar exercícios similares com e-mails falsos bem-trabalhados para ajudar os usuários a entender a lição.

Usuários provavelmente serão sempre o elo mais fraco da segurança. Quer seja um erro humano, que deixa uma porta aberta, quer seja a credulidade da natureza humana que leva o usuário a abrir a porta para um estranho amigável. Talvez treinamentos de conscientização para novos usuários, com um “choque”, podem ajudar a minimizar o risco.

Fonte: IDG Now!

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *