Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9734′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#191919′]

Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

Conhecimento de segurança é proteção

Quando se fala em segurança da informação nas empresas, ter pessoas competentes e prontas para encarar as ameaças do dia a dia com esperteza e responsabilidade é a sua primeira linha de defesa.

O elo mais fraco de um plano de segurança é sempre o fator humano, o usuário, pois não há nenhuma tecnologia, nenhum tipo de software que possa impedir o deslize de um funcionário desatento.

Por isso, uma forte segurança da informação nas empresas, mantendo a integridade, confiabilidade e disponibilidade dos dados do negócio, depende da capacitação dos colaboradores para executar suas funções de maneira, de fato, segura.

Contudo, nem todos os colaboradores precisam ter o mesmo nível de conhecimento de segurança, o que torna fundamental que se entenda a diferença entre educação, treinamento e conscientização.

Entender as diferenças entre estes três estágios de aprendizado é essencial para aplicá-los da forma mais adequada e envolvendo as pessoas certas na sua empresa.

Nem todos precisam de uma educação ou treinamento, por exemplo, mas para conquistar uma cultura de segurança da informação nas empresas é necessário que todos sejam, ao menos, conscientizados.

Errar é humano. Qualquer pessoa está sujeita a cometer um deslize que possa colocar dados pessoais ou da empresa em risco.

Em nosso comportamento, costuma-se usar os caminhos mais confortáveis, e nem sempre mais cuidadosos, até porque não se sabe que, em determinadas situações, é preciso ter cuidado. Isto é, nem todos estão familiarizados com as boas práticas de segurança da informação.

60% dos ataques tem como causa o fator humano

Evidência disso é o relatório da   X-Force 2016 Cyber Security Intelligence Index, que concluiu que “em 2015, 60% de todos os ataques foram realizados por insiders, seja com intenções maliciosas ou aqueles que serviram como atores inadvertidos”.

Ou seja, a maioria dos ataques à segurança de dados sofridos por empresas teve como causa o fator humano interno – seja ele mal-intencionado ou simplesmente ignorante em relação à segurança da informação.

Neste sentido, o relatório 2016 Cost of Insider Threats do Ponemon Institute realizou uma pesquisa em 54 organizações que, em 12 meses, tiveram 874 incidentes envolvendo insiders. Destes, 68% foram consequência de negligência, e o custo médio por incidente passou de U$4 milhões.

Faz sentido então que haja preocupação em transmitir conhecimento de segurança para essas pessoas, de modo que cada um possa executar suas funções de maneira não apenas eficiente, mas segura.

Contudo, para fazer isso da maneira mais adequada e eficaz possível, é preciso entender quais as necessidades e riscos envolvidos na atividade, e assim entender o quanto a pessoa de fato precisa conhecer de segurança da informação nas empresas.

Para entender a diferença entre educação, treinamento e conscientização, vamos começar com uma analogia:

A maior parte das pessoas que você conhece provavelmente gosta de ir à praia. De fato, é uma atividade muito comum para muitas pessoas e que exige diversos cuidados: passar filtro solar, se manter hidratado, e, principalmente, ter atenção ao mar.

Você deve estar se perguntando o que a praia tem a ver com o assunto desse artigo, mas calma, vamos te explicar:

Conscientização

Quem nunca foi à praia ou não convive com esse ambiente de forma habitual pode não entender como o mar é – além de muito atrativo – perigoso. Talvez essa pessoa também não saiba que cuidados tomar, de modo que pode acabar correndo riscos desnecessários.

Alguém que esteja mais habituado e conheça ao menos um pouco sobre os perigos de um mar revolto, sabe o que significa a bandeira vermelha de correnteza, e, idealmente, sabe identificar quando é seguro se divertir e se refrescar nas ondas e quando é melhor se manter na segurança da areia.

Essa pessoa que tem uma noção sobre como se relacionar com o mar é uma pessoa que tem consciência sobre os perigos que ele pode apresentar e como identificá-los: ela está conscientizada sobre as ameaças que pode encontrar e como evitá-las.

Conscientização, portanto, é um estado constante de awareness, ou seja, de estar ciente das ameaças que existem, como identificá-las, e como evitar ser uma vítima.

Do ponto de vista da segurança da informação nas empresas, um colaborador plenamente conscientizado conhece as boas práticas para não se encontrar no centro de um incidente de vazamento de informações.

Ele sabe como se prevenir contra ameaças de visual hacking, engenharia social, e phishing, por exemplo, e sabe identificar o perigo em potencial, mesmo que não entenda todos os detalhes por trás de cada ameaça ou de como resolver um incidente.

Treinamento

É nestas condições que acontece um incidente – um evento que gera desdobramentos e consequências potencialmente danosos para os envolvidos. Pode acontecer de a pessoa começar a se afogar, ou no mínimo, levar um caldo daqueles. Nestas horas, um indivíduo treinado em salvamento ou primeiros socorros pode ser o fator decisivo para a reversão do incidente que – potencialmente – poderia resultar em desastre.

Da mesma forma, quando falamos de segurança, alguém não conscientizado pode clicar em links suspeitos, abrir anexos indesejados, tirar fotos que revelem algo confidencial no ambiente de trabalho, e até submeter credenciais em formulários fraudulentos.

Cada uma dessas ações gera incidentes de segurança da informação. Para lidar com determinadas ameaças e incidentes, uma pessoa precisa estar treinada – seja para responder rapidamente ou até mitigar danos.

Treinamento, então, consiste no desenvolvimento de competências (skills) necessárias à execução de uma atividade ou função. Em se tratando de segurança da informação nas empresas, alguns profissionais de determinados setores ou que lidam com determinadas categorias de informação precisam de conhecimento e competências um nível acima do alcançado com a conscientização. É o caso de colaboradores que atuam em áreas como (porém não limitadas a):

– área de finanças;

– desenvolvimento de sistemas;

– auditorias;

– propriedade intelectual;

– processos judiciais.

É importante ressaltar que a base sobre a qual os skills desenvolvidos em um treinamento são construídos é, idealmente, a do conhecimento preparatório absorvido em um programa de conscientização.

treinamento efetivo é construído sobre uma base de conscientização

Da mesma forma que uma pessoa pode ter sido treinada por um curso de primeiros socorros ou salvamento para executar alguns passos e conter ou amenizar um incidente, alguém treinado para segurança da informação saberá operar controles, técnicas, e atuar com gerenciamento de risco e política de segurança, por exemplo.

Isso pode incluir contingenciamento, lidar com problemas de usuários e colaboradores, controlar processos de autenticação, acesso, e até operar permissões de sistemas seguros.

Os treinamentos têm um objetivo mais focado em competências para execução, e se diferenciam da conscientização na medida em que esta tem foco em estimular atenção e hábitos de boas práticas.

Educação

A educação, por outro lado, está associada a um corpo de conhecimento formado por um conjunto de competências, capacidades, e entendimento teórico adequados a diversas funções.

Idealmente, a educação aborda conceitos, princípios e questões de maneira multidisciplinar, sob vários pontos de vista e abordagens, entendendo aspectos não só tecnológicos do assunto estudado, como também sociais.

As pessoas que são educadas são os profissionais e especialistas, e normalmente o são por consequência de um grau de estudo, como um diploma universitário ou por cursar uma pós-graduação ou especialização.

Na analogia que vínhamos tecendo, alguém que tem uma educação para lidar com incidentes na praia e no mar pode ser um profissional de salvamento, como um bombeiro ou salva-vidas, ou até paramédicos, em oposição a uma pessoa apenas treinada em salvamento ou primeiros socorros.

É importante destacar que programas de treinamento podem ser mais longos do que se imagina, como o procedimento necessário para se obter uma certificação. Ainda assim, estes não se encaixam no conceito de educação, pois normalmente têm apenas uma competência ou skill como objetivo final, e não a construção consolidada de conhecimento amplo e profundo em torno de uma área do saber.

Segurança da informação nas empresas – qual caminho seguir?

Apesar de percebermos claramente a diferença entre educação, treinamento e conscientização, deve-se entendê-los como fases de um processo contínuo de aprendizado. A conscientização deve ser alcançada para que depois seja possível aplicar um treinamento, que pode, posteriormente, evoluir para uma educação.

Ao entender a diferença entre os três estágios, resta saber como isso pode ser adequado às necessidades de segurança da sua empresa. Bem, em primeiro lugar, é fundamental que uma empresa tenha uma Política de Segurança da Informação (PSI) adequada às necessidades e riscos do negócio.

Ela é a base que fundamenta e direciona os planos de segurança da empresa. Para que se tenha um movimento de conscientização, treinamento, ou educação, é preciso primeiro que se tenha clareza em relação aos objetivos e necessidades evidenciados pelas diretrizes de uma PSI.

As pessoas que coordenam o plano de segurança de uma empresa normalmente são as que têm algum tipo de educação no assunto. Serão essas pessoas também que definirão os cursos de ação mais adequados a se seguir para cada área da empresa – se apenas conscientização, ou se também treinamento de segurança.

Um exemplo de diferenciação é que enquanto todos os funcionários precisam estar conscientizados, alguns com acesso a informações mais delicadas e que trabalham com operações mais sensíveis precisam ser treinados. Segundo o relatório Insider Threat Spotlight, da Crowd Research Partners em parceria com o LinkedIn Group Partner Information Security, a falta de treinamento de funcionários e a falta de conscientização foram as razões mais citadas (62%) para o aumento dos ataques de insider.

Colaboradores da área de comunicação, por exemplo, precisam ser conscientizados como quaisquer outros para se comportarem de modo a evitar deslizes e a se prevenirem contra ataques de engenharia social, como tailgating ou visual hacking, que podem resultar em vazamento de informações, por exemplo. Indivíduos que trabalhem em setor financeiro, porém, precisam estar preparados para lidar com ameaças mais complexas e direcionadas, como o spear phishing.

Desta forma, fica evidente que a resposta é transmitir o conhecimento necessário aos colaboradores certos com o objetivo de construir uma cultura de segurança da informação na empresa.

Apesar de simples, a solução pode ser trabalhosa se as pessoas envolvidas ainda não têm hábitos orientados à segurança. Desse modo, é preciso o abandono de práticas ruins para a construção de novos hábitos orientados à segurança. E para isso, é necessário um programa de conscientização.

Como começar: um programa de conscientização

Para manter a segurança da informação nas empresas, é imprescindível que os usuários estejam informados sobre as diretrizes de segurança e os riscos que enfrentarão, e assim entendam suas responsabilidades no que tange à Política de Segurança da Informação.

conscientizar é o primeiro passo da trilha de aprendizado

Para que isso seja consistente e duradouro, todavia, é necessária uma mudança de hábitos, e para isso, um programa de conscientização é sempre a melhor opção. Conscientizar é o primeiro passo da trilha de desenvolvimento de conhecimento e o mais fundamental deles.

Um programa de conscientização começa com a intenção de garantir a conformidade com a política de segurança e evolui para o objetivo de criar uma cultura de segurança e um ambiente mais seguro. Como destacamos antes, é importante que se analise o contexto do negócio, os riscos e processos envolvidos e as necessidades da empresa para aí traçar o plano de ação.

Além disso, a segmentação do público e a difusão da informação de formas diversas, reforçada por múltiplos canais são fundamentais para a fixação do conteúdo ao longo do tempo. E por falar em tempo, um programa costuma ser um processo duradouro – maior que uma campanha, por exemplo, e por isso são essencialmente diferentes.

Por esta razão, um programa de conscientização precisa ser dividido em ciclos para que as informações e atividades permaneçam relevantes de acordo com a evolução do público envolvido. Esta evolução é avaliada pelo cruzamento de dados e métricas obtidas ao longo da fase anterior e desde o início do programa, de modo que também é possível identificar grupos de risco que precisam de mais atenção.

É bom lembrar também que além de reforçar comportamentos que se quer incentivar, há que se repreender comportamentos que se pretende afastar. A informação – no caso, por meio da conscientização – tem sempre de vir antes das exigências de conformidade, claro, pois não faz sentido aplicar sanções se os colaboradores não têm clareza sobre o que é esperado deles, de modo que podem ficar frustrados e perderem engajamento.

Como o objetivo de um programa de conscientização é ser o meio que comunica a política de segurança de uma empresa para criar hábitos mais seguros e, idealmente, uma cultura de segurança, ele precisa ser implementado em vários canais, direcionados a vários níveis correspondentes da organização, inclusive aos executivos.

engajamento é um dos fatores mais relevantes para um processo de conscientização

Aliás, engajamento é um dos fatores mais relevantes para um processo de conscientização. Por isso, sempre ressaltamos o quão importante é que a alta gerência da empresa esteja também envolvida e engajada no projeto. O exemplo de executivos transmite a ideia de que a segurança é um valor da empresa e que precisa ser reforçado e desenvolvido.

Além disso, o engajamento geral é tão importante para segurança da informação nas empresas, que bons programas devem trabalhar com promotores da iniciativa, identificados na segmentação de público, e que ajudam a avançar a agenda do programa.

Lembre-se:

Em resumo, a diferença entre educação, treinamento e conscientização é:

Educação está associada a um estudo mais amplo e profundo de assunto e seu contexto, sob diversos pontos de vista e considerando múltiplos aspectos. Costuma estar associado a um diploma ou grau de ensino.

Treinamento é voltado à obtenção do conhecimento e das competências necessárias à execução de uma função – é mais formal e focado em performance profissional e requer um papel ativo no processo de aprendizado.

Conscientização tem por objetivo mudar comportamentos para fazer com que as pessoas tenham atenção à segurança e a boas práticas. Conscientizar é ideal para uma audiência ampla e diversa, e depende de uma comunicação clara, atrativa, e envolvente dos conceitos que se quer transmitir.

Cada um é uma etapa de um processo de aprendizado que pode ser contínuo a depender de suas necessidades e aspirações. Pode ser que nem todos os seus colaboradores precisem ter uma educação formal em segurança da informação, e é possível que apenas uma porcentagem precise ser treinada.

Porém, atualmente, em que o mundo digital permeia cada vez mais cada aspectos de nossas vidas e geramos mais dados do que podemos compreender, de modo que a informação é a vantagem competitiva mais valiosa do mundo… a conscientização do usuário é absolutamente fundamental para a segurança da informação nas empresas.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Visual Hacking: Olhe em volta… você está seguro?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9690′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#2d2d2d’]

Visual Hacking: Olhe em volta… você está seguro?

Visual Hacking é uma forma de se obter informações sensíveis apenas bisbilhotando a mesa, o celular ou o computador do seu alvo. Você nunca percebeu ninguém olhando para a tela do seu smartphone no metrô? Então… 

Você poderia estar sendo um alvo, naquele exato momento.  

Calma, isso não quer dizer que você estava de fato sofrendo visual hacking. É da natureza curiosa do ser humano olhar para o lado e se entreter com o que estiver ao alcance dos seus olhos. Ou era apenas uma pessoa entediada mesmo 😉

76% dos entrevistados alegaram já ter olhado para o dispositivo de outra pessoa

Muitas vezes o ato de olhar para uma tela ou um aparelho que não seja seu vem por reflexo. Uma pesquisa realizada pela 3M em parceria com o Ponemon Institute, a “Public Spaces Interview Study” de 2017 indica que 76% dos entrevistados alegaram já ter olhado para o dispositivo de outra pessoa. 

Mas como você não vai saber diferenciar uma coisa da outra, o jeito mesmo é se prevenir. 

Esse conceito é bem intuitivo, “Visual“, como você pode imaginar significa uso de meios visuais e “Hacking” remete a métodos alternativos de se obter algum tipo de informação. 

Apesar de você achar que esse pode não ser o método mais efetivo de se obter informações, a mesma pesquisa “Public Spaces Interview Study” de 2017 revelou que o visual hacking não demora muito tempo! Pode levar menos de 15 minutos para que um invasor obtenha alguma informação que possa comprometer toda a estrutura de uma companhia.  

Não existe um nicho específico o qual essa ameaça afete mais, ela afeta qualquer indústria de qualquer seguimento. Onde existe informação sensível e confidencial, existe o risco de vazamento. 

As informações sensíveis podem estar dispostas em notebooks, tablets, smartphones, assim como em documentos impressos que são deixados em mesas, salas de reunião, ou até esquecidos na impressora. 

Visual Hacking é fácil, rápido, e não recebe a atenção necessária tanto pelos colaboradores, quanto pelas organizações.

Como Visual Hacking se aplica no ambiente de trabalho?

A organização física do escritório tem um grande papel no risco de Visual Hacking.  

Hoje em dia, muitas empresas investem em ambientes de trabalho com um conceito “open office”, um modelo sem baias ou divisórias entre as mesas. 

Essa organização promete facilitar o contato entre colaboradores, aumentando a produtividade e a sensação de trabalho em equipe. 

Como toda ação tem uma consequência, os documentos, papéis, post-it, e principalmente as telas dos computadores ficam à uma espichada de olho de distância. 

Essa estrutura de escritório é ideal para a prática de Visual Hacking. Todas as companhias que adotam esse modelo devem contabilizar esse novo risco à segurança de informação sensível.

Toda tela que você possa ver, pode ser vista por um visual hacker

Outro fator que deve ser considerado é que existem áreas específicas de todo escritório que são mais vulneráveis à prática do Visual Hacking. Em teoria, toda tela que você possa ver, também pode ser vista por um Visual Hacker. Porém, recepções e áreas com alto trafego de pessoas, como locais próximos aos banheiros ou à copa ficam naturalmente mais comprometidas. 

Dando um passo além da organização física do escritório, os colaboradores muitas vezes não percebem que as informações com que eles trabalham são desejáveis por Visual Hackers, que são informações sensíveis e/ou confidenciais.  

Isso também afeta diretamente a segurança dessas informações já que, desconhecendo os riscos, não são tomadas as medidas de segurança necessárias para evitar que essas informações fiquem disponíveis a um atacante. 

Além disso, pesquisas mostram que os colabores são “tímidos” na hora de confrontar um visual hacker. A pesquisa, Global Visual Hacking Experiment, conduzida pela Ponemon Instutute indica que em 68% das tentativas de obter informação sensível as pessoas não questionaram ou reportaram as ações do Visual Hacker. Mesmo depois de presenciar uma situação atípica ou suspeita. 

Fica evidente que um trabalho de prevenção em Visual Hacking é essencial no plano de conscientização de segurança de qualquer empresa.  

 

Como Visual Hacking se aplica no ambiente externo à empresa?  

 

As políticas de segurança da informação não devem abranger somente a segurança dentro dos muros da empresa. Afinal, todos os colaboradores são sujeitos ao Visual Hacking quando estão trabalhando remotamente, em cafés, aeroportos ou até em meios de transporte. 

Poucas pessoas se preocupam com o conteúdo que deixam disponíveis aos olhos curiosos, sendo esse conteúdo profissional ou pessoal. 

Segundo àquela mesma pesquisa “Public Spaces Interview Study” de 2017, que já mencionamos anteriormente: 

  • 87% das pessoas que trabalham em ambientes públicos já presenciaram alguém espiando por cima de seus ombros. E talvez os outros 13% não tenham virado a cabeça rápido o suficiente.  
  • O Visual Hacking desperta preocupação, 3 de cada 4 colaboradores entrevistados alegaram já ter se sentido desconfortáveis e preocupados em algum nível 
  • 51% dos entrevistados alegaram que não tomam nenhum cuidado especial na hora de fazer o trabalho em um lugar público. 
  • E em um número mais assustador, mas não muito surpreendente, 87% dos entrevistados nunca sequer haviam escutado o termo “Visual Hacking”. 

 

Por que o Visual Hacking deve ser uma preocupação para as empresas? 

 

Para mostrar a importância de se proteger contra essa ameaça chamada visual hacking, e mostrar a urgência do tema, nós escolhemos apresentar dois estudos de caso que foram realizados pelo Ponemon Institute, o primeiro nos Estados Unidos e o segundo com uma abrangência global. 

O primeiro estudo do instituto Ponemon sobre “Visual Hacking” foi realizado em 2015 e mostra o quão fácil é extrair informação sensível de qualquer tipo de empresa utilizando apensas meios visuais. 

Um hacker muitas vezes só necessita de uma informação para comprometer toda a estrutura de uma organização. Ameaças não estão presentes somente no campo de alta tecnologia, alternativas Low-Tech também podem causar danos tão rapidamente quanto.  

Também foi levantada a diferença entre Visual Hacking e Visual Privacy. Visual Hacking, é um método que envolve baixa tecnologia usado para capturar informação sensível, confidencial ou privada somente por meios visuais. Visual Privacy é o ato de proteger informação sensível, confidencial ou privada de Visual Hackers.

88% das tentativas de visual hacking foram bem sucedidas

Os resultados do experimento são assustadores. A grande maioria (88%) das tentativas de Visual Hacking foram bem-sucedidas. 

Dentre as informações sensíveis obtidas: 47% foram credenciais de login e acesso; 35% eram documentos classificados como confidenciais ou sigilosos12% eram informações financeiras ou sobre o orçamento. 

As informações mais sensíveis de uma companhia são vulneráveis. 20% de todo o conteúdo obtido foi considerado como muito valioso. 

Pessoas não gostam de confrontar quem apresenta um comportamento suspeito. Em 70% das tentativas de hacking os colaboradores não questionaram ou reportaram o Visual Hacker. Mesmo após presenciar comportamento suspeito e inusitado. 

Escritórios amplos e abertos são ideais para a prática do Visual Hacking. Escritórios tradicionais, com a divisão por cubículos, fazem com que seja muito mais fácil proteger documentos impressos ou impedir a visualização de uma tela. Evitar alterar a organização tradicional do escritório minimiza consideravelmente os riscos de Visual Hacking. 

Em todos os ataques o invasor conseguiu obter informação sensível em menos de 15 minutos. 

Nas vezes que detectaram as ações do Visual Hacker, já era tarde demais, múltiplas informações já haviam sido divulgadas na mesma tentativa.

Em 2016 a Ponemon, conduziu o primeiro experimento em escala global visando avaliar o nível de vulnerabilidade ao Visual Hacking. Chamado de “Global Visual Hacking Experimental Study. 

O estudo foi a extensão do mesmo projeto realizado em 2015, apresentado anteriormente. Dessa vez, foram analisadas empresas de 8 países diferentes, incluindo: EUA, China, França, Alemanha, Índia, Japão, Coréia do Sul e Reino Unido. 

O objetivo dessa pesquisa foi detectar o quão preparadas essas companhias estão para lidar com a ameaça que é o Visual Hacking. 

Segundo a Ponemon, o Visual Hacking acontece quando um colaborador faz escolhas ruins de como acessar e visualizar informação sensível, que é então vista por um curioso ou por um hacker malicioso.  

Com essa pesquisa pode-se perceber que existe uma necessidade em quase todas as empresas de criar conscientização dentre os usuários sobre a proteção de informações sensíveis. 

O instituto Ponemon conduziu um hacker “white hat” dentro de lugares reais de trabalho em diversas localidades ao redor do mundo.  

O hacker “white hat” é um tipo hacker que utiliza os seus conhecimentos para aumentar o nível de segurança, isto é, procura a exploração e detecção de erros e de conceito, que posteriormente são evidenciados e podem ser corrigidos. 

Os testes duravam de uma a duas horas em cada locação e o hacker procurou por diversos tipos de informação considerados importantes. Informações sobre clientes ou sobre funcionários, credenciais de acesso e login, correspondência da companhia, material de treinamento, dentre outros. 

A pesquisa prova: o Visual Hacking é um problema global. Ele ocorreu em todos os países e 91% de todas as 157 tentativas foram bem-sucedidas. 

De todas as informações obtidas pelos hackers, grande parte (27%) é considerada informação sensível. 

Certas situações facilitam o Visual HackingDocumentos deixados em cima de mesasesquecidos em salas de reuniões e principalmente informação visualmente disponível em computadores como notebooks, smartphones, tablets dentre outros. 

Metade das tentativas de Hacking foram bem-sucedidas em menos de 15 minutos. E mais da metade (52%) das informações sensíveis foi obtida através de monitores de computador. 

Uma média de 3.9 “pedaços de informação” diferentes foram obtidas pelo hacker, por tentativa. Isso representa qualquer tipo de informação sensível que ajude um invasor a conquistar seus objetivos. 

27% das vezes tais informações eram credenciais de login ou informação financeira e privilegiada e, novamente, em 68% das tentativas o atacante não foi percebido ou questionado pelos colaboradores. 

 

Boas práticas para evitar Visual Hacking 

 

Agora vamos ao que interessa? 

Como parte de nossa missão é ajudar a tornar pessoas e negócios mais seguros, não podíamos deixar de indicar as boas práticas para se proteger contra essa ameaça.

certifique-se do quão vulnerável você está

Antes de acessar qualquer tipo de informação sensível, se certifique o quão vulnerável você está. Caso esteja em um lugar muito cheio, como uma cafeteria ou avião, considere esperar até estar em um lugar mais seguro, ou procurar um novo lugar, para trabalhar com tais informações.  

Especialmente se a sua empresa tiver o conceito de “open office”, fique a atento as pessoas ao seu redor quando for trabalhar com informações sigilosas.  

O Visual Hacking é um assunto que precisa ser discutido com todos os colaboradores para que possa ser prevenido em toda a organização. Uma estratégia de privacidade visual é imprescindível. Vale também levar em consideração colaboradores que trabalham diretamente com informações sensíveis, verifique a possibilidade deles serem alocados em ambientes afastados de visitantes e de membros de outros departamentos. 

Utilizar bloqueios físicos, como uma trava biométrica, para evitar o trânsito de funcionários em áreas que eles não trabalhem diretamente também é algo que deve ser levado em conta.  

As políticas de Segurança da Informação de uma empresa devem instruir os colaboradores a bloquear o computador ou quaisquer dispositivos quando esses não estão em uso. Além de, indispensavelmente, proteger os dispositivos com senhas fortes. 

A política de Mesa Limpa também ajuda a evitar que documentação sigilosa ou confidencial fique exposta nas mesas dos colaboradores. Juntamente com os esforços de usar um triturador de papel para descarte de documentos que não forem mais necessários. 

Os colaboradores são a ferramenta mais forte na defesa contra o Visual Hacking, mas alterar comportamento humano pode ser difícil. Todas as políticas de Segurança de Informação implementadas devem ser reforçadas com esforços de comunicação interna, treinamentos e com a tentativa da criação de uma cultura de privacidade. 

Uma combinação simples de pessoas, processos e tecnologia é o primeiro passo em direção a prevenção do Visual Hacking. A prevenção precisa ser uma constante, uma vez que pessoas mal-intencionadas continuam buscando novas maneiras de extrair informação sensível. 

Lembre-se: muitas pessoas transitam diariamente pelo escritório, e QUALQUER UM pode ser um Visual Hacker. 
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/INSIDER-THREAT-HORIZONTAL-300×211.png’ attachment=’7258′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INSIDER THREAT

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK CULTURA

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Garanta mais colaboração para os programas de segurança

Trazer mais segurança para o ambiente não se trata apenas de investir em tecnologia e melhorar processos, mas também de ganhar a colaboração de toda a empresa nos programas de segurança.

Existe uma grande confusão sobre quem é o responsável pelas funções de segurança e a ideia de que a equipe de segurança é a única capaz de manter os ativos seguros impede que as empresas sejam mais proativas em sua estratégia e faz com que grande parte da força de trabalho não seja inclusa nos planos de resposta a incidentes, uma falha grave que aumenta consideravelmente o tempo de solução.

Defina os responsáveis

Pouco importa se é o CIO, o CSO ou o CISO o melhor profissional para lidar com a segurança da informação. O mais importante é definir quem será responsável formalmente por responder por isso e oferecer ao escolhido todo o suporte necessário. Isso inclui definir o que é esperado dessa função, sempre relacionando a segurança ao negócio.

A empresa mostra que a segurança é um assunto sério ao nomear um CSO, por exemplo, mas nada impede que outra pessoa, que tenha mais conhecimento do negócio, tenha a palavra final.

Comunique os problemas de segurança

A equipe de segurança precisa comunicar os problemas de maneira acessível para todos os membros da empresa para ganhar colaboração nos programas de segurança.

A falta de comunicação e a falta de entendimento dos problemas fazem com que muitos, inclusive o time de executivos, pensem que as falhas relatadas não passam de “tempestade em copo d’água” feita pelos profissionais de segurança.

É preciso pensar em maneiras criativas de envolver a equipe, como testes de penetração mostrando o quanto todos estão vulneráveis ou recompensas para quem tem boa postura em relação às políticas de segurança.

Não subestime o poder das métricas

É comum encontrarmos profissionais de segurança que focam muito em compliance e usam métricas relacionadas a isso para justificar a efetividade de um programa de segurança. No entanto, isso faz com que alguns executivos considerem importante priorizar exigências de compliance em detrimento do que vai tornar a rede realmente segura.

Em vez de explicar as atividades de segurança desenvolvidas, o melhor é explicar como a estratégia está reduzindo riscos, por meio de métricas como detecção de ameaças. Toda vez que uma ameaça é detectada por um ativo de segurança, um dado que poderia causar estragos nas mãos de um concorrente ou de um criminoso é salvo, assim, é possível deduzir a importância do retorno de investimento dos programas de segurança.

Com Dark Reading