Diante do cenário de expansão e aprimoramento dos golpes de phishing, empresas por todo o mundo têm investido recursos para manter os funcionários alertas para possíveis tentativas de exposição de informações críticas. Para se ter uma ideia de como essa ameaça segue como um dos principais vetores de ataque, o mais recente estudo da Proofpoint, State of the Phish, apontou que oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem sucedido em 2022, e 23% sofreram perdas financeiras como resultado.
O cenário exige um trabalho forte de conscientização, inclusive com treinamento antiphishing, com simulações controladas desses golpes. Contudo, um dos passos mais importantes para que essas testagens sejam efetivas envolve convencer os outros setores – desde o comando até as categorias mais baixas – da importância da aplicação desses testes. O treinamento contra Ciberataques precisa ser uma contribuição de todos para a Segurança, em vez de ser apenas mais uma preocupação entre outras tantas da companhia.
“O Líder de SI precisa explicar aos outros funcionários por que os testes são essenciais para eles e para a organização. É a oportunidade de definir o tom certo e inseri-los nas atividades. O objetivo é ajudá-los a construir ‘memória muscular’ e instintos certos diante de uma das maiores ameaças à companhia”, comenta Perry Carpenter, Chief Evangelist and Strategy Officer na KnowBe4, em entrevista para a Security Report.
Carpenter também ressalta a participação dos board executives durante as simulações, tanto para se prepararem pessoalmente – sendo eles alvos altamente visados – quanto para incentivar os empregados a fazerem o mesmo. “Se eles demonstrarem estar ‘acima do treinamento’, os funcionários podem se sentir em um sistema de classes no trabalho e vão perder o interesse no treinamento. Se estamos construindo uma cultura de SI, isso tem que partir de cima”, disse.
Além disso, o executivo ressalta que os trabalhadores precisam ser incluídos em um ambiente saudável de aprendizado, o que vai lhes permitir compreender seus erros e descobrir como agir diferente em uma próxima oportunidade. Portanto, situações vergonhosas precisam ser combatidas a todo custo pelas equipes de teste.
“Estamos buscando educar os usuários finais sobre como eles podem ajudar a tornar a organização mais segura. Assim, descobrimos que as organizações têm mais sucesso quando se concentram nos aspectos positivos e fazem seus empregados entenderem o objetivo do programa: ajudá-los a deixar a empresa segura”, acrescenta o Vice-presidente para LATAM da Proofpoint, Rogério Morais.
Processos de testagem
Os planejamentos de simulação antiphishing precisam seguir um processo básico, que envolva tecnologia, transparência e muito diálogo. Especialistas apontam ser importante fazer uma testagem inicial para compreender o ambiente de maturidade da corporação. Ela servirá para perceber a maturidade dos funcionários diante de uma ameaça de phishing.
Depois disso, começam os processos de simulação propriamente ditos, com as equipes de Cibersegurança enviando ataques falsos aleatórios para toda a empresa. Tão logo os resultados sejam contabilizados, os CISOs poderão orientar os departamentos em atividades adicionais de preparação, além de recompensar as boas práticas aplicadas em cada caso.
Na visão de Morais, atividades de treinamento positivas e agradáveis ajudam a evitar a resistência e indiferença dos usuários, produzem benefícios de Segurança mensuráveis para a organização e capacitam os empregados a se tornar uma parte chave da postura de Segurança da organização.
Em relação à frequência de testagens dos funcionários, ambos os especialistas são enfáticos a respeito: deve-se testar o máximo de vezes possível, de forma a manter os empregados vigilantes a todas as novas formas de enganação, que se inovam a cada dia.
“Se a empresa estiver sendo testada apenas a cada quarter ou ano, ela não será testada de verdade. Esse processo deve ser entendido como um exercício físico: treinar frequentemente aumenta a força, a memória muscular e a resiliência em situações de impacto. É isso que as equipes de Segurança da Informação buscam”, conclui Carpenter.