Elementos-chave de um programa anti-phishing

Programas abrangentes de proteção contra phishing incluem quatro componentes - proteção, educação, avaliação e relatórios. Compreender o porquê e como ajuda a concentrar recursos limitados de segurança onde é mais importante

Compartilhar:

Semanalmente, nos deparamos com manchetes de um novo ataque ou de uma outra grande violação. Por exemplo, recentemente milhões de clientes nas lojas Saks e Lord & Taylor foram afetados por uma violação. Embora ainda esteja sob investigação, os relatórios iniciais apontam que é o resultado de um ataque de phishing.

 

Não é nenhuma surpresa que os hackers usem essa abordagem – as pessoas ainda são o elo mais fraco de qualquer programa de segurança. Isso torna o phishing uma das maiores ameaças enfrentadas atualmente pelas pequenas e médias empresas. De acordo com o Relatório de Investigações de Violações de Dados da Verizon, mais de 90% dos ataques começam com um phishing.

 

Um dos principais fundamentos para prevenir o phishing é a educação dos colaboradores. Ao capacitar a equipe em relação a diferentes tipos de ataques, ela pode se transformar de um dos elos de segurança mais fracos, em um dos maiores aliados de uma companhia. É possível fazer isso ao criar um programa abrangente de proteção contra phishing em toda a empresa.

 

Componentes de um Programa de Prevenção de Phishing

 

Programas abrangentes de proteção contra phishing incluem quatro componentes – proteção, educação, avaliação e relatórios. Compreender o porquê e como ajuda a concentrar os seus recursos limitados de segurança no que é importante.

 

–  Proteção: O ciclo começa com a proteção, pois as taxas de cliques continuam altas.

 

É de extrema importância complementar a ligação entre proteção e educação com uma solução eficiente que forneça uma camada adicional de segurança para identificar e impedir infecções por malware. Assim, os funcionários que clicam nos e-mails de phishing são protegidos e recebem uma dose de treinamento depois da ação.

 

Educação: Essa proteção precisa estar em sinergia com a educação. Os usuários precisam entender quando cometeram um erro e como se manter seguros no futuro. Certifique-se de treinar seus usuários sobre os perigos de clicar em arquivos suspeitos de anexos de e-mail e hiperlinks e links da Web incorporados. Eles são muito fáceis de detectar, uma vez que a maioria tende a não ser personalizada para destinatários individuais. Os e-mails de phishing geralmente têm gramática ruim, links que não correspondem a domínios da Web com marca ou outros problemas de aumento de sinalização.

 

Avaliação: Os gerentes de TI precisam entender suas taxas de cliques e onde direcionar a educação. O treinamento é o primeiro passo, mas não descarta a necessidade de exercícios práticos e avaliações periódicas da equipe. Colocar e-mails de phishing para testar a sua força de trabalho demonstra e reitera a necessidade de revisão. O objetivo é mantê-los desconfiados ao interagir com anexos de arquivos ou links em e-mails não solicitados.

 

Relatório: Os participantes de um programa de treinamento se beneficiam ao falar sobre os casos que presenciam. Isso esclarece o que os atacantes estão fazendo e reforça a necessidade de estar vigilante contra esses ataques.

 

Além disso, certifique-se de revisar e atualizar suas políticas de segurança anti-spam e firewall. As ameaças de segurança surgem e evoluem rapidamente. É preciso estar sempre alerta e atualizado sobre os últimos vazamentos, correções e patches.

 

* Todd O’Boyle é Director of Product Management da WatchGuard Technologies

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...