[av_slideshow_full size=’no scaling’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’8389′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=’14’ font_color=” color=”]

Qual a importância da conscientização de usuários para a Segurança da Informação?

O universo da Segurança da Informação vem passando por um momento de mudanças graduais, constantes e significativas devido ao avanço tecnológico e ao crescimento do cibercrime.

Inicialmente, os problemas de Segurança da Informação se baseavam em vírus e pichações nas páginas da Internet. Atualmente, entretanto, a introdução de tecnologias como IoT, por exemplo, apesar de terem trazido mais velocidade e eficiência para os negócios, também ampliaram a superfície de ataque, aumentando, consequentemente, o êxito dos ataques cibernéticos.

Uma estimativa da Cybersecurity Ventures – consultoria internacional na área de Segurança da Informação – demonstra que os crimes cometidos por invasores virtuais causaram um prejuízo de US$ 5 bilhões para as empresas em 2016. E, além disso, a entidade prevê que esse custo subirá para US$ 6 trilhões até 2021.

Isso porque os cibercriminosos estão cada vez mais sofisticados. Ao invés de se exporem atacando diretamente as redes das organizações, em que sabem que existem muitos mecanismos de proteção e detecção implementados, atacam o elo mais fraco da cadeia, o usuário.

Segundo o Gartner Group, 70% dos incidentes de segurança que realmente causam prejuízos financeiros para as empresas, envolvem insiders. No caso da Yahoo!, que perdeu milhões de dólares em negociações devido à um vazamento de dados, tudo começou com um e-mail phishing, um dos golpes que usa táticas de engenharia social para atingir seus objetivos.

Atualmente, muitas empresas estão sendo invadidas por ataques simples e nada sofisticados. Os cibercriminosos tem utilizado técnicas de engenharia social, por exemplo, para persuadir as pessoas e conseguirem acesso às redes ou às informações. Ataques que poderiam ser totalmente evitados caso os usuários tivessem sido conscientizados.

A conscientização em Segurança da Informação é capaz de gerar mudança no comportamento de todos e por isso é vista como uma ferramenta com grande potencial para beneficiar as organizações.

Por que investir em Campanhas de Conscientização de Segurança da Informação?

A grande repercussão dos casos de ciberataque, seguidos de vazamentos de informação corporativa, tem despertado a atenção do público em geral para a questão da Segurança da Informação.

Esse ainda é um assunto novo para muitos e o investimento em conscientização e treinamento para todos os níveis da organização, é, ainda hoje, uma das melhores e mais efetivas práticas de gestão de Segurança da Informação.

Todos os guias de boas práticas de gestão de SI apontam para a necessidade de envolver os usuários no processo de segurança. E, por isso, assim como Firewall, Antispam e Antivírus, a conscientização em Segurança é parte essencial em qualquer processo de Segurança da Informação.

Funcionários conscientes do quão importante são os dados e informações, com os quais trabalham, e de seu papel na proteção desses ativos, redobram seus níveis de atenção e proteção.

Isso faz com que seja diminuído o sucesso dos ataques que poderiam vazar dados da empresa, dos colaboradores e até mesmo dos clientes, debilitando a imagem da empresa.

Portanto, os membros da organização ficarão mais atentos a ataques e dispostos a participar de treinamentos à medida que forem se conscientizando da importância do papel que desempenham dentro da empresa. Podendo, inclusive, propor novas medidas de segurança, deixando de ser apenas um usuário conscientizado, e passando a ser um usuário participativo.

O que para as empresas é extremamente valioso, levando em consideração que, hoje em dia, os funcionários são vistos pelos intrusos como potenciais alvos. E, por isso as empresas devem enxergar seus membros como soldados, e usá-los como uma extensão dos mecanismos de detecção e resposta.

De acordo com uma pesquisa sobre cibercrime elaborada pela PwC em 2014, companhias que não investiram em conscientização para a Segurança da Informação, tiveram um prejuízo anual de US$ 683 mil como resultado de ataques cibernéticos, enquanto as companhias que investiram em conscientização e treinamentos desse tipo perderam, em média US$ 162 mil.

Tendo em mente o atual cenário e as estatísticas apresentadas, fica claro que investir em campanhas de conscientização não só protegem a sua empresa, mas também qualificam o seu time, aumentando o engajamento dos colaboradores e agregam valor ao seu negócio.

Agora a questão é: por onde começar?

Criando conscientização voltada à área de Segurança da Informação

O primeiro passo é definir um objetivo. Não só identificar e entender as necessidades do seu negócio, mas também enxergar valor na ideia de conscientizar a sua equipe.

Em seguida, é importante que seja desenvolvida uma Política de Segurança da Informação. A PSI é a grande diretriz da organização em matéria de segurança da informação.

Contudo, somente a criação de uma Política de Segurança da Informação não garante a segurança da empresa. Os colaboradores devem cumprir com a política estabelecida e é aqui que as campanhas de conscientização entram como recurso, garantindo que toda a empresa seja treinada, educada e conscientizada de acordo com as políticas e procedimentos da organização.

E para isso, é imprescindível que os usuários aprendam algumas boas práticas de comportamento e uso da Internet, evitando que as ameaças afetem os negócios da empresa. Sendo assim, listaremos abaixo algumas práticas simples, mas que garantem mais segurança não só para o usuário, mas principalmente para a organização.

1. Bloquear o computador ao se ausentar do posto de trabalho a fim de que ninguém tenha acesso aos seus dados.

Imagine que você está trabalhando em uma proposta para um projeto de milhões de reais para sua empresa. Em um dado momento você sentiu sede e se levantou para pegar um copo d’água se afastando de seu computador.

Você estava distraído e não se preocupou em bloquear sua máquina. Nesse mesmo momento, alguém com más intenções poderá se aproveitar dessa brecha para colher informações, danificar seu projeto ou alterar dados, o que terá um impacto muito negativo no seu trabalho e consequentemente, na sua empresa.

Uma medida tão simples e que evita problemas tão grandes. Afinal, é melhor prevenir do que remediar, certo?

 2. Nunca disponibilizar logins e senhas, mesmo que para colegas de trabalho.

Se você fornece seus dados pessoais para alguém você precisa ter em mente que esta pessoa poderá utilizar esses dados para quaisquer ações.

Sendo assim, caso ele(a) utilize-os a fim de roubar informações, danificar sistemas ou cometer infrações, você não terá como provar que não foi o infrator.

Além disso, nem todos trabalham com acesso às mesmas informações, o que quer dizer que talvez você possua informações que são confidencias e que não devem ser compartilhadas com outros membros da empresa.

3. Ter atenção ao falar sobre a empresa, clientes ou negócios em táxis, elevadores e metros, por exemplo.

Pense que você está no elevador de sua empresa com um colega de trabalho conversando sobre a nova proposta de negócio que a empresa de vocês recebeu da empresa XPTO. Nesse momento, o elevador para e duas pessoas entram.

Vocês continuam conversando sobre a proposta, mencionando o nome da empresa XPTO, no que consiste o projeto, preços, etc.

O que você não poderia prever é que as duas pessoas que dividiam a cabine de elevador com você e seu colega, eram nada mais nada menos do que funcionários de uma empresa concorrente, que utilizaram as informações fornecidas ingenuamente por vocês para fazer uma contraproposta para a empresa XPTO e ganharam o projeto que seria da sua empresa, resultando em um grande prejuízo financeiro.

Portanto, é de extrema importância tomar cuidado ao falar publicamente sobre as informações confidenciais e importantes da sua empresa.

4. Utilizar as redes sociais com segurança, não disponibilizando informações sigilosas ou fazendo contato com desconhecidos.

Hoje em dia, cibercriminosos utilizam as redes sociais para coletarem informações relevantes, como ocupação, endereço, amigos e gostos, sobre seus alvos a fim de usá-las em ataques de engenharia social.

Ou mesmo para distribuir malware pelas máquinas! Sim, é possível. Você não ficou sabendo do caso de ataque de worm no Facebook Messenger que distribuiu o malware?

5. Verificar atentamente os e-mails.

Ataques de phishing são cada vez mais frequentes, e inclusive existe uma outra vertente desse golpe chamada de spear phishing que visa alvos específicos, em geral funcionários de empresas visadas pelos atacantes.

Sendo assim, é fundamental que ao receber um e-mail de um remetente desconhecido, você preste atenção ao conteúdo e aos comandos desse e-mail.

É importante ter em mente, que ainda que você esteja sendo pressionado a tomar uma atitude, é sempre melhor se certificar de que se trata de um email legítimo, evitando prejuízos financeiros e de reputação.

Inclusive, de acordo com o último relatório da Norton Cyber Security Insights de 2016, 42 milhões de brasileiros foram afetados por ciberataques, resultando em uma perda de US$ 10,3 bilhões.

E o mais alarmante é que 44% não sabiam identificar um phishing ou garantir se um e-mail era legítimo ou não.

6. Nunca fotografar o ambiente de trabalho, principalmente telas de computador e documentos.

Suponha que você fotografou alguns documentos e gráficos da empresa para poder trabalhar de casa.  Mas, acontece que você não sabia que seu telefone celular estava infectado com um malware, que permitia que um grupo de ciberatacantes tivesse acesso a todos os dados do seu celular.

Sendo assim, à medida que você disponibilizou informações sobre a empresa no seu dispositivo, os cibercriminosos tiveram acesso a esses dados, expondo sua empresa, ou seja, deixando-a vulnerável apenas por um comportamento negligente seu.

7. Reportar à equipe de Segurança de sua empresa qualquer problema ou desconfiança em relação às atitudes suspeitas na Internet.

A equipe de segurança da sua empresa precisa ser vista como sua aliada. Dessa forma, é extremamente importante relatar todo e qualquer tipo de problema ou suspeitas para esse time, a fim de que os especialistas fiquem cientes do que está acontecendo e possam analisar e reagir aos incidentes, diminuindo as chances de sucesso de possíveis ataques.

8. Seguir as políticas e práticas de segurança da empresa, a fim de que exista uma gestão funcional de segurança.

Aqui por exemplo, a fim de exemplificar esse ponto, citaremos um episódio que ocorreu em 2010. O jornalista americano Mat Honan, teve sua conta iCloud invadida, depois que um funcionário da Apple, passou seus dados para alguém que se dizia ser o titular de sua conta, descumprindo as políticas internas da organização.

Tendo esse cenário como base, torna-se evidente que investir em campanhas de conscientização de segurança é algo imprescindível. Hoje, na Era da Informação, os dados são vistos como o novo recurso natural, ou como a nova moeda de troca e, por isso, segurança precisa ser vista como um caminho que precisa ser seguido para que negócios sejam feitos.

Qual o papel das campanhas de conscientização na criação de uma cultura de segurança nas empresas?

De acordo com o consultor Michael Santarcangelo, conscientização para a segurança é “a percepção individual das consequências de uma ação, aliada à habilidade de avaliar sua intenção e impacto”

Ou seja, para ele o objetivo dos programas de conscientização é munir as pessoas com informações e experiências, a fim de que elas construam uma consciência própria e saibam como agir ao identificar um ataque.

Segundo o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, “a razão da conscientização é focar a atenção na segurança. Deve ajudar os indivíduos a reconhecer as preocupações da área de Segurança da Informação e responder corretamente” e é exatamente por isso, que as campanhas de conscientização para Segurança da Informação devem atingir todos os membros da empresa, mirando todos os níveis da organização, incluindo gerentes e profissionais de nível sênior.

Criar consciência para a questão da segurança é uma maneira de garantir que os membros da organização entendam seu papel na proteção dos dados sensíveis, e que compreendam a importância do constante preparo necessário para enfrentar novos desafios, dado que a criação de consciência para segurança é um ciclo.

Conclusão

As entidades que são referência na área de Segurança da Informação, apontam a conscientização do usuário, como um dos passos iniciais para que uma cultura de segurança seja criada dentro do ambiente empresarial.

Isso porque, as campanhas visam não só educar e conscientizar o colaborador, mas procura informá-lo sobre as reais ameaças as quais ele está exposto, ensinando como identificar e reagir aos diferentes ataques online.

Estar consciente não significa saber tudo sobre todos as possíveis formas de ataque às quais você pode ser submetido, mas sim, entender o grau de importância das informações com as quais você está lidando e redobrar sua atenção e cuidado a fim de proteger os dados mais sensíveis e os ativos essenciais da sua empresa.

Garantindo que esses ataques não sejam capazes de desestabilizar sua organização ou abalar sua reputação perante o mercado de atuação.

Sendo assim, tendo políticas e práticas de segurança bem definidas, aparatos tecnológicos capazes de identificar e impedir ataques e uma equipe conscientizada, educada e engajada com as suas causas, dificilmente você sofrerá com prejuízos causados por ciberataques.

E aí, curtiu o conteúdo e quer saber mais sobre como tirar suas políticas do papel? Visite a página da nossa oferta, a PSAP – PROOF Security Awareness Program, e fale com de nossos especialistas 😉


[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,203′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/A5_-_7_dicas_contra_phishing_durante_o_período_de_IR.png’ attachment=’7049′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-phishing’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING IR

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-facts.png’ attachment=’7051′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/phishing-facts-infografico’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING FACTS

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-calendar.png’ attachment=’7050′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/phishing-calendar’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING CALENDAR

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]