por Ciara Lakhani (*)

Em 2020, 74% das empresas americanas afirmou ter sido vítima de um ataque de phishing. Estando os destaques mediáticos cheios de notícias relacionadas com ransomware, e tendo em conta a conectividade remota contínua, é cada vez mais importante para as empresas implementar planos de ação para chamar à atenção para a questão da cibersegurança, uma vez que o phishing tanto pode “afundar” pessoas como negócios.

A palavra phishing é normalmente utilizada como um termo “guarda-chuva” para diversos tipos de ataques, embora a categoria mais abrangente seja considerada "engenharia social”. Os engenheiros sociais colocam o target na natureza humana, com o objetivo de manipular alguém a tomar determinada ação. O phishing refere-se ao tipo mais comum de ataque: e-mails fraudulentos enviados para um grande número de pessoas. A ideia é lançar uma vasta “rede de pesca” com uma simples comunicação falsa como “isco” - que frequentemente personifica um indivíduo ou uma marca. O phishing funciona porque aproveita algumas das características mais básicas dos seres humanos (curiosidade, descuido, FOMO - fear of missing out), e os autores dos ataques sabem como utilizar essas características a seu favor. Os phishers “pescam” com um e-mail, uma mensagem de texto, uma chamada telefónica, ou uma mensagem nas redes sociais, atraindo com um link ou anexo malicioso, e aí concluem a “captura”, com credenciais de login roubadas ou um sistema comprometido.

Quando falamos da maioria das iniciativas de cibersegurança, a sensibilização para temas como deteção de tentativas de phishing com táticas de medo faz com que os colaboradores frequentemente se sintam irritados com a equipa de TI - ou, pior, ressentidos. Podem até sentir-se tão ansiosos em relação ao phishing que não cliquem em qualquer link ou anexo - mesmo os importantes. No final de contas, emoções negativas não ajudarão a construir uma cultura eficaz de consciencialização para a cibersegurança. Os departamentos de RH deveriam tornar como seu objetivo alimentar uma cultura de segurança livre de culpas, em que todos os colaboradores sintam que estão a contribuir para um objetivo comum.

Criar uma cultura de segurança

Numa cultura que privilegie a segurança, os colaboradores compreendem o seu papel na proteção dos dados e recursos informáticos da empresa, são participantes ativos em conversações de segurança a decorrer e têm as ferramentas de que necessitam para manter bons hábitos de segurança sem impedir o seu trabalho. Uma cultura sem culpas não significa falta de responsabilização. Contudo, em vez de utilizar um modelo punitivo, podem ser encontradas outras formas de motivar os colaboradores a seguir políticas e bons hábitos de segurança, como por exemplo:

  • Não incutir medo nos colaboradores com ameaças de despedimento por repetidamente caírem em phishing simulado
  • Implementar um sistema de companheirismo que indique um colega para ser um especialista em cibersegurança, da equipa ou do departamento de TI
  • Não exigir aos colaboradores que reutilizem ou registem por escrito as suas passwords
  • Facultar ferramentas e recursos apropriados, como gestores de passwords

Um inquérito recente da Harris Poll revelou que 79% dos colaboradores assume pelo menos alguma responsabilidade pessoal pela segurança geral da sua empresa. Os colaboradores querem ser parte da solução, e as empresas precisam de lhes mostrar como podem fazê-lo.

Implementar um programa de educação, formação e sensibilização para a cibersegurança

As tendências de phishing parecem inquietantes - mas, através da educação e formação dos colaboradores, é possível capacitá-los com o conhecimento necessário para evitar “morder o isco”. Um programa bem sucedido de educação, formação e sensibilização para a cibersegurança deve responder às seguintes perguntas: porque é que a segurança é importante para a empresa, porque é que os colaboradores se devem importar com segurança, como os cibercriminosos escolhem e atacam empresas e, por fim, que ações os colaboradores tomam no decorrer do seu trabalho diário para aumentar a segurança.

Realizar campanhas de phishing simulado

Para ajudar os colaboradores a reconhecer phishing e arriscar ações através de experiências em primeira mão, podem ser realizados testes de phishing simulado. Os phishers podem nem sempre ter uma escrita perfeita, mas brilham no que diz respeito à psicologia e ao comportamento humano (e são investigadores meticulosos). Ao realizar regularmente campanhas de phishing simulado, é possível transformar os colaboradores, de um elo fraco na segurança da empresa para um ponto forte.

Para além de servirem como prática para os colaboradores, os testes de phishing medem a quantidade de pessoas que abrem os e-mails, clicam nos links e nos anexos, e completam a ação final (como, por exemplo, inserir as suas credenciais de login). Estas métricas podem ser utilizadas para medir a eficácia do programa ao longo do tempo e identificar áreas que necessitem de educação e sensibilização adicionais.

Reforçar as defesas de phishing com ferramentas e processos adicionais

A educação e a sensibilização são potenciadoras, mas ainda é necessário fornecer ferramentas e implementar processos que apoiem e promovam práticas seguras. É importante treinar os colaboradores em relação a como identificar e comunicar suspeitas de incidentes ou ameaças de segurança, incluindo ataques de phishing. Pode-se considerar a criação de um e-mail ou de um canal específico para os colaboradores falarem sobre estes assuntos.

Especificamente, as empresas também devem treinar os colaboradores a reconhecer tentativas de phishing e engenharia social, para além de adotarem um gestor de passwords e autenticação multi-fator para melhorar a higiene digital e a segurança. A cibersegurança tem tanto a ver com pessoas como com tecnologia. As empresas precisam de educar toda a sua força de trabalho e fornecer-lhes ferramentas que sejam realmente úteis, tanto no trabalho como em casa. Algumas dicas rápidas para apanhar um ataque de phishing incluem:

  • Verificar o assunto do e-mail e identificar se este tem um sentido de urgência, táticas de medo ou uma oferta sedutora
  • Garantir que o endereço de e-mail corresponde ao nome do remetente e/ou empresa
  • Antes de clicar, procurar problemas na escrita ou gramática, ou utilização de linguagem incomum ou estranha
  • Não ser enganado pela personalização, porque os autores dos ataques também podem estar informados acerca de detalhes pessoais
  • Adotar tecnologias como segurança endpoint, gestores de passwords e segurança de e-mail

Muitas empresas estão a melhorar as suas tecnologias e os seus processos de segurança para tornar mais difícil para os phishers “apanhar” os seus colaboradores. Mas estes vão continuar a encontrar formas inovadoras e inesperadas de atrair as pessoas com engenharia social. A melhor defesa é preparar-se para o inesperado e capacitar os colaboradores com conhecimento atual, ferramentas adequadas e sensibilização constante. As empresas apenas podem alcançar uma cultura de segurança se todos estiverem envolvidos; a cibersegurança não é algo com que apenas o departamento de TI ou os colaboradores experientes em tecnologia se devem preocupar. Os departamentos de RH precisam de recordar que promover uma sensibilização positiva para a cibersegurança com formas mais inspiradoras e eficazes - e não táticas de medo - irá conduzir a uma cultura de segurança.

(*) Chief People Officer na Dashlane

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.