Um especial obrigado ao Gabriel Friedlander, CEO da Wizer Training.
Antes de carregar no botão GO para dar início à sua simulação de phishing, existem alguns pormenores que deve considerar.
Depois do artigo sobre o Phishing e o Trabalho Remoto, publicamos um artigo escrito com base no Webinar To Phish or Not to Phish...That is the Question da Wizer - Free Security Awareness Training.
O phishing vem do mundo digital, contudo, é também um problema empresarial porque as empresas estão a perder dinheiro. Quando se juntam estes dois fatores, ninguém se importa com as pessoas e isso muda a forma como as simulações de phishing são abordadas.
OS PIRATAS INFORMÁTICOS NÃO TÊM PIEDADE, E VOCÊ?
Os piratas não são simpáticos. Não se importam com as emoções. O seu único objetivo é fazer com que as pessoas cliquem num botão ou ficheiro prejudicial, custe o que custar. Muitas das pessoas que gerem simulações de phishing acham que “têm”de ser o mau da fita, mas a verdade é que há linhas que não devem ser ultrapassadas.
História real: uma empresa foi atingida com ransomware quando um funcionário clicou num e-mail de phishing que informava como melhorar a performance masculina. Enviaria este tipo de e-mail aos seus empregados? Provavelmente não, mas um pirata envia!
A CIBERSEGURANÇA É UMA QUESTÃO HUMANA QUE ENVOLVE TECNOLOGIA. NÃO O CONTRÁRIO!
As organizações precisam de entender o PORQUÊ dos seus colaboradores responderem a diferentes tipos de e-mails de phishing. É o resultado de um ambiente de trabalho stressante ou da mentalidade «É para fazer tudo e rápido».
É fundamental fazer uma distinção entre a tomada de consciência e a autoconsciência. Um teste de phishing em si não estimula a autoconsciência e isso pode ser um elo perdido em todo o sistema.
Compreender o elemento humano e a cultura da sua organização ajuda a impulsionar o modo correto de executar as suas simulações. Evite recorrer a alguns tipos de phishing, como e-mails bónus que desencadeiam grandes doses de stress. Use compaixão e inteligência emocional. Coloque-se no lugar dos seus colaboradores. Avise-os que a simulação está para breve e que é apenas para fins de treino. No final das contas, está a tentar educá-los.
Os testes servem para avaliar o que as pessoas não sabem versus o que sabem, e ajudá-las a ter um melhor desempenho para cometerem menos erros no futuro.
O PHISHING É UMA ATIVIDADE DA RED TEAM?
O phishing continua a ser a principal porta de entrada no que diz respeito às intrusões nas redes informáticas, porém as simulações não devem fazer parte das funções da Red Team. Se vai fazer uma simulação de phishing, certifique-se de que os seus colaboradores têm as ferramentas necessárias e sabem o que fazer quando suspeitarem de um e-mail. Caso contrário, está a direcioná-los para o fracasso.
Devem denunciá-lo? Sim, mas como? É suposto confirmarem os pedidos que aparentemente têm como remetente a chefia? Garanta que eles sabem qual é o processo a adotar.
Para além disto, verifique se os seus procedimentos atuais estão a funcionar. Se um colaborador receber um e-mail do diretor a pedir uma transferência bancária, como pode verificar que os procedimentos foram seguidos? Como por exemplo, ele pode ligar para verificar?
O QUE VEM PRIMEIRO, TREINO OU PHISHING?
Se não treinou a sua equipa, está a perder o seu tempo ao fazer simulações. O objetivo do phishing é testar o que as pessoas aprenderam. Simulações de phishing fazem parte de um maior esforço na formação. Não são 100% eficazes por si só. Debates sobre o tema e exercícios são uma ótima maneira de criar cenários que envolvam todos sem gerar sentimentos de vergonha.
Partilhe com os seus colaboradores que tem plena noção que serem vítimas de phishing não faz parte das suas funções. Explique os riscos e os benefícios. Diga-lhes o que fazer se forem phished.
TORNE ESTA QUESTÃO PESSOAL
Tudo o que aprender sobre a tomada de consciência no processo de segurança pode ser usado em qualquer lugar a qualquer momento. Forme os seus colaboradores, dando-lhes a consciência de que este tipo de treino ajudá-los-á a aprender a lidar com esquemas em todas as vertentes da sua vida.
Pensar com consciência crítica é o seu maior trunfo, e ter a consciência de segurança é uma habilidade para vida. Tornar a formação pessoal não só ajuda os colaboradores a ajudarem-se a si próprios, como também se traduz na proteção da empresa.
NÃO CAIA EM OBJETIVOS IRREALISTAS!
Tenha objetivos finais claros. Há uma enorme falta de dados nas métricas de segurança em geral. O phishing ajuda a medir algo, mas talvez não seja o parâmetro certo. Algumas pessoas vão clicar, independentemente do que aconteça.
Não se pode evitar, por completo, os acidentes de viação, apesar de todos os condutores terem sido ensinados a conduzir. É irrealista esperar que 100% dos seus colaboradores não cliquem num e-mail phishing. Mesmo que tenha uma taxa de 4%, isso pode significar que 40 pessoas (em 1000) clicaram ou que existem 40 portas abertas para que um intruso possa entrar. É muito! Focamo-nos demasiado na taxa de cliques e não na resiliência. Descubra quem reportou os e-mails de phishing ou adotou uma outra forma de ação correta!
O QUE FAZ COM OS 4% CLIQUEM CONTINUAMENTE?
Lembre-se que mais de 1 milhão de pessoas são vítimas de fraude todos os anos. E algumas destas são enganadas uma e outra vez porque não trabalharam a causa principal que leva a este gesto. Qual é a psicologia por detrás do cair num esquema? Confiança, preconceito em confirmar a veracidade, ou outros preconceitos e crenças na vulnerabilidade pessoal? Quando uma vítima entende estes problemas, é capaz de os corrigir. Uma vez que a empresa compreenda estas questões, será capaz de formá-la, no entanto, em alguns casos, a empresa não tem a experiência para lidar com estes aspetos psicológicos. Nestes casos, o caminho pode passar por querer bloquear o acesso à Internet ou alterar a função da pessoa.
Quer seja a primeira vez ou reincidentes, estes são um perigo para a sua empresa, mas precisam de ser tratados com sensibilidade, não com humilhação. Talvez necessitem que lhes proporcione mais formação ou participação num webinar, antes de recorrer a medidas drásticas como bloquear o acesso à Internet ou alterar o seu papel na empresa.
UMA TAXA DE CLIQUES DE 4% É BOA?
Às vezes, os números podem ser enganadores. Se os 4% que clicaram incluírem gestores de topo, pessoas com acesso a informações sensíveis, ou com privilégios de administração, isso pode representar um cenário pior do que 10% que têm acesso limitado.
COM QUE FREQUÊNCIA DEVE SIMULAR O PHISHING COM OS SEUS COLABORADORES?
Se o fizer em demasia, acabará por stressar toda a gente. A capacidade de pensar com consciência critica vai cair, e estará, literalmente, a intimidar a organização ao normalizar este procedimento. Ficaram de tal maneira habituados à simulação do e-mail de phishing, que começaram a ignorar e-mails de phishing reais. Porém se forem poucas as vezes, ninguém vai aprender ou reter nada.
Os nossos especialistas dizem que entre 7 a 12 vezes por ano é um bom fluxo para criar bons hábitos e consciência de segurança.