Até pouco tempo atrás, era bem comum encontrarmos todos esforços das empresas focados em ferramentas de segurança, com destaque para os firewalls, antivírus e filtros de navegação web (proxy). Nas empresas maiores, o foco foi além, incluindo a disciplina chamada DLP – Data Loss Prevention, que é nada mais que Prevenção de Vazamento de Informações.
Além das ferramentas, empresas com apetite menor de risco, também se utilizaram da cultura do não, onde tudo é proibido, creio eu, que em função do desconhecimento dos mecanismos de proteção e muitas vezes da limitação técnica para procurar uma maneira segura.
Porém, apesar de tantos investimentos e despesas com Tecnologias em Segurança, 97% dos orçamentos conforme o livro “The Security Culture Playbook” do Perry Carpenter e Kai Roer, os usuários continuam expondo as organizações, sendo responsáveis por até 85% dos incidentes de segurança – brechas, vazamentos, invasões, etc.
Diante desse problema, empresas passaram a olhar para usuários e o ponto de partida passou a ser as Campanhas de Phishing, onde empresas especializadas são contratadas para lançarem mensagens simulando phishings reais e ao final, relatórios com quantidade e listagem dos usuários que clicaram e entraram dados na página falsa (se for o caso).
Porém, ainda há uma miopia na maioria dos profissionais de segurança, quando o assunto é “Campanhas de Phishing”. São realizadas campanhas e ao final usam os números de cliques, como uma informação negativa e muitas vezes, tratam isso como um problema ao ponto de expor os usuários que clicaram e criam com isso uma antipatia e resistência. Não foram poucas as vezes que me deparei com profissionais de segurança falando e rindo de quem clicou e até e expondo para outras pessoas externas à atividade. Tal postura vai totalmente de encontro com o objetivo real das simulações, que é de treinar as pessoas.
Importante: Simulações de Phishing são e devem ser consideradas e vistas como “Treinamentos Práticos de Segurança para os usuários” e são complementares e fazem parte dos treinamentos teóricos existentes, tais quais Palestras, Vídeos, Livros, etc.
Ao contrário do que se pensa, Simulações de Phishing tem objetivo de treinar os usuários a não clicarem, porém para isso, é preciso que o façam por diversas vezes, até que não cliquem mais. É a mesma metodologia utilizada por atletas, que treinam dezenas, centenas e até milhares de vezes o mesmo golpe, chute, arremesso, manobra, etc. Jogadores de futebol treinam incessantemente chutes para o gol, jogadores de basquete treinam milhares de arremessos, tenistas repetem incansavelmente suas batidas de forehand, backhand, saques dentre outros. O caso é que nos esportes, as repetições ocorrem nos treinamentos, para que na hora da competição, as falhas sejam minimizadas e é isso que deve acontecer com os treinamentos de phishing. Quanto mais repetições, melhor, para que na hora do phishing real, o usuário esteja preparado e não clique. Portanto, vamos chamar de treinamentos de segurança via phishing e não testes de phishing, campanhas, simulações, etc.
Diante disso, quero trazer algumas reflexões sobre questões comuns que chegam até mim constantemente:
1. Para estar preparado para uma competição, quantas vezes ao mês é preciso que o atleta treine? 1 vez? 2 vezes? Todos os dias?
O resultado vai ser proporcional à frequência de treinos. Quanto mais treinado e melhor a estratégia do treinamento, maiores as chances de sucesso na competição. Minha recomendação é que ocorra todos os dias para todos da empresa ou grupos específicos, com treinamentos e phishings gerais e também direcionados para áreas específicas, como por exemplo: financeiro pode ser mais suscetível a certos tipos de phishings (nota fiscal, cobrança, protesto, etc) que a área técnica não vai ser e vice-versa. Departamentos de pessoas podem ser suscetíveis a falsos currículos, algo que o time de vendas não vai ser e ao contrário também.
2. Quem deve treinar? Todos colaboradores ou os novatos? Diretores/Executivos devem participar também?
Todos dentro da organização possuem sua importância. No caso das simulações de phishing, todos devem participar, independente da sua posição na organização, do estagiário ao presidente. Quanto mais alto o posto, maior sua exposição externa e com isso, a chance de ser alvo de algum ataque e dessa maneira, devem estar ainda mais preparados do que todos. Além disso, quanto mais alta sua posição, mais acesso à informações privilegiadas e confidenciais ele tem. Já ouvi muitos casos que executivos pedem para ficar de fora, por não quererem se expor ao clicarem nas simulações, ou ainda, por se acharem “acima de todos” e/ou “infalíveis”. Ambas visões estão equivocadas e devem a missão do profissional de segurança conversar com esses Diretores e explicar sobre a importância, riscos e ainda do exemplo. Quanto aos novatos, é recomendável ter campanhas específicas para os mesmos, com objetivo de trazê-los para o nível dos demais, uma vez que é comum uma quantidade maior de cliques e com isso de maior risco, nestes casos, pois não passaram pelos treinamentos que os veteranos já passaram.
3. Clicar é um problema, uma deficiência, uma falha? Os usuários que clicam devem ser punidos?
A resposta é depende. Como eles estão sendo preparados? Quais treinamentos e informações estão sendo passadas? Nem todos os usuários vão resistir bem à pressão e podem falhar e daí, o diferencial da organização ter programas de segurança humanizados, com empatia e que entendem individualmente as pessoas que não conseguem evoluir. Já ouvi casos de empresas que coagem seus colaboradores com ameaça de advertência e até demissão em caso de cliques recorrentes, porém será que esse é o caminho correto? A empresa tem o direito de optar por quem não lhe traz segurança e aumenta os seus riscos, porém, ela precisa fazer o papel dela de desenvolver aqueles que possuem maior dificuldade nesse quesito. Atletas profissionais não acertam todos no gol, na cesta, na quadra adversária e nem por isso são preteridos. Já alguém que erra todas, também jamais será um profissional, por isso cada caso precisa ser avaliado.
4. Como gerenciar e medir as campanhas e seus resultados?
É um ponto muito bom, considerando duas afirmações clássicas: Não se pode gerenciar o que não se pode medir; e Quem não conhece seu adversário e a si mesmo, será derrotado em todas as batalhas. Diante disso, para se ter resultados, um painel de acompanhamento com resultados dos phishings, resultados individuais dos usuários, quantidades de cliques e reports, propensão a phishings, etc é extremamente importante. Apenas resultados individuais das campanhas não são suficientes para se medir a evolução e resultados do programa, bem como planejar ações. Como exemplo, posso citar um caso real que vivenciei, onde foi enviado um phishing simulado com suposta mudança de senha do email e o mesmo teve muitos cliques e poucos “reports”. Ao longo de 12 meses, diversas simulações parecidas foram enviadas e conteúdos relacionados entregues aos usuários e ao final deste período, o resultado estava absurdamente melhor, com a redução de 150 para 3 cliques e o aumento de 50 para 350 reports. Isso demonstra que a estratégia escolhida funcionou. Porém, essa afirmação só pode ser feita com um painel de resultados que consolide os reports e possibilite o acompanhamento que mencionei.
Por fim, afirmo que uma empresa só estará segura, se uma cultura de segurança existir, que é quando os seus usuários estiverem agindo de forma segura e para isso precisam ser treinados no assunto, via phishing, via conteúdos online, offline, etc. Achar que colocar ferramentas e barrar tudo é solução, não funciona e vai sempre fazer os usuários boicotarem as práticas de segurança e adotarem uma postura contrária ao que devem. Em tempo, saibam que fazer simulações de vez em quando, sem objetivos, métricas e acompanhamento da evolução, não vai gerar resultados. Imaginem como um atleta chegará à competição treinando só de vez em quando. É o caso do seu usuário, que só treina de vez em quando e quando receber o phishing de verdade, a chance dele clicar e comprometer a organização toda, será bem grande.
Rodrigo Jorge
CISO na VTEX
