Detetar, explicar, formar e treinar

Ao dia de hoje dificilmente não conhecerá alguém que tenha recebido um email a solicitar informações pessoais, passwords de acesso a aplicações e sistemas corporativos ou a alteração de um IBAN em nome de um fornecedor; um telefonema de um hipotético técnico de informática a requerer o acesso remoto ao seu computador em nome da resolução de um gravíssimo problema, ou mesmo um “preocupante” SMS a informar de dificuldades no pagamento da eletricidade, solicitando em simultâneo a imediata transferência para um IBAN que evitará o corte do serviço, entre tantos outros.

Todas estas e algumas outras formas de ludibriar utilizadores (pessoas!) a que chamamos pomposamente Engenharia Social mais não são que as milenares formas de roubo e chantagem perpetradas agora por criminosos digitais e que só podem ser combatidas e minimizadas através de uma abordagem moderna e completa de treino.

Uma eficaz segurança tecnológica tem de ser complementada com o fortalecer do que o “firewall humano” representa e o treino de conscientização é uma das melhores maneiras de o fazer, quer através de campanhas de phishing, que testem a maturidade dos colaboradores seguidas de ações de formação orientadas, quer de formação propriamente ditas, quer ainda e sobretudo de ações de coaching em tempo real.

E se as campanhas formativas e de phishing são já uma prática comum, ainda que insuficientes na recorrência, diversidade e inovação, o coaching como resposta a errados comportamentos, com a orientação certa no exato momento seguinte à ação (bloqueada ou não), ajudará a mitigar o risco, nomeadamente naquelas que são as sete mais comuns ameaças de engenharia social:

• Download de anexos de arquivos potencialmente perigosos - Muitas tentativas de engenharia social giram em torno de induzir a vítima a baixar e abrir um ficheiro perigoso, como um EXE, DOC ou HTML;
• Clique em ligações de alto risco - Tal como com os anexos, muitas tentativas são baseadas em ligações (URL) maliciosas disfarçadas de links confiáveis de um determinado fornecedor ou entidade;
• Filtragem de conteúdos - Para além de bloquear o acesso a conteúdos que se consideram questionáveis, importará explicar ao utilizador, naquele preciso momento, o porquê da proibição, sensibilizando- o acerca do tema;
• Instalação e/ou execução de software não autorizado - Frequentemente, os utilizadores tentam instalar software não aprovado pelas organizações;
• Ligações ao exterior nocivas - Ferramentas de análise e monitorização de tráfego identificam ligações a locais reconhecidamente perigosos, bloqueando- as. Mas importa perceber e explicar que anteriores ações poderão ter estado na origem dessas ligações de alto risco;
• Tentativas de logins não autorizados - Os logins inesperados de computador para computador, sem que haja um aparente legítimo motivo, assim como as repetidas tentativas sem sucesso são um dos indícios de atividades maliciosas;
• Tentativa de contornar a autenticação multifator - A autenticação multifator (MFA) é cada vez mais uma obrigatoriedade em todo o tipo de logins a computadores, redes e aplicações externas ou mesmo internas.

Ainda que a maioria das ferramentas de controle de cibersegurança bloqueiem todas estas ações, a integração com uma plataforma de coaching em tempo real aproveitará todos estes casos de uso como oportunidade única para reforçar o treino dos utilizadores, explicando-lhes os motivos de tais proibições e reforçando o velho princípio de que melhor que decorar será perceber, obtendo ao mesmo tempo valiosos insights.

Em resumo, a SECURNET acredita que a criação de baselines de conhecimento através de testes, a simulação e/ou aproveitamento de casos do mundo real, o treino interativo e envolvente, com conteúdos adaptados e apelativos, bem como uma avaliação contínua, através de relatórios de integridade corporativa, talvez sejam a verdadeira “bala de prata” para tornar as organizações digitalmente mais resilientes.

Atenta a esta realidade, a SECURNET tem uma forte parceria com a KnowBe4, enquanto maior plataforma integrada do mundo em treino de conscientização em cibersegurança, simulação de phishing e coaching em tempo real.

Para mais informações contacte-nos em: info@securnet.pt

Conteúdo co-produzido pela MediaNext e pela Securnet