Formação de sensibilização para o Phishing: Ajudar as equipas a evitar o isco

Como podem as empresas de hoje mitigar a ameaça do phishing? A segurança “by design” tem sido, desde há muito tempo, qualquer coisa como um santo graal para os profissionais da cibersegurança. O conceito é simples: assegurar que os produtos são projetados para serem tão seguros quanto possível, a fim de minimizar as hipóteses de compromisso.

O conceito foi ainda mais alargado nos últimos anos para significar um esforço para incorporar a segurança em todas as partes de uma organização – desde os seus pipelines DevOps às práticas de trabalho do dia-a-dia dos seus empregados. Ao criar uma cultura “segurança em primeiro lugar” como esta, as organizações serão simultaneamente mais resistentes às ciberameaças e melhor equipadas para minimizar o seu impacto se sofrerem uma violação.

Os controlos tecnológicos são, evidentemente, uma ferramenta importante para ajudar a criar este tipo de cultura de segurança profundamente enraizada. Mas também o é a formação de sensibilização para o phishing, que desempenha um papel extremamente importante na mitigação de uma das maiores ameaças à segurança das empresas hoje em dia e deve ser um elemento básico nos programas de formação de sensibilização para a cibersegurança em geral.

Porque é que o phishing é tão eficaz?

De acordo com o ESET Threat Report T1 2022, as ameaças por email registaram um aumento de 37 por cento nos primeiros quatro meses de 2022, em comparação com os últimos quatro meses de 2021. O número de URLs de phishing bloqueados disparou quase ao mesmo ritmo, com muitos scammers a explorarem o interesse geral na guerra Rússia-Ucrânia.

Os esquemas de phishing continuam a estar entre as formas mais bem sucedidas de os atacantes instalarem malware, roubarem credenciais e enganarem os utilizadores para fazerem transferências de dinheiro. Porquê? Por causa de uma combinação de táticas de falsificação que ajudam os scammers a fazer-se passar por remetentes legítimos, e técnicas de engenharia social concebidas para apressar o destinatário a agir sem primeiro pensar nas consequências dessa ação.

Que táticas de formação funcionam?

Um estudo global recente revelou que a formação e a sensibilização para a segurança dos empregados é a principal prioridade de gastos das organizações durante o próximo ano. Mas uma vez que isto tenha sido decidido, que táticas irão proporcionar o melhor retorno do investimento? Considere cursos de formação e ferramentas que proporcionem:

  • Cobertura abrangente em todos os canais de phishing (email, telefone, redes sociais, etc.)
  • Lições divertidas que utilizam reforço positivo em vez de mensagens baseadas no medo
  • Exercícios de simulação do mundo real que podem ser ajustados pelas equipas de TI para reflectir a evolução das campanhas de phishing
  • Sessões de formação contínua durante todo o ano em aulas de curta duração de não mais de 15 minutos
  • Cobertura para todos os empregados, incluindo temporários, prestadores de serviços e executivos de topo. Qualquer pessoa com acesso à rede e uma conta corporativa é um alvo potencial de phishing
  • Análise para fornecer feedback detalhado sobre indivíduos que pode depois ser partilhado e utilizado para melhorar as sessões futuras
  • Aulas personalizadas adaptadas a papéis específicos. Por exemplo, os membros da equipa financeira podem precisar de orientação extra sobre como lidar com os ataques BEC
  • Gamificação, workshops e questionários. Estes podem ajudar a motivar os utilizadores a competir contra os seus pares, em vez de sentirem que estão a ser “ensinados” por especialistas em TI. Algumas das ferramentas mais populares utilizam técnicas de gamificação para tornar a formação mais fácil de utilizar e envolvente
  • Exercícios de phishing DIY. Segundo o National Cyber Security Centre (NCSC) do Reino Unido, algumas empresas conseguem que os utilizadores construam os seus próprios emails de phishing, proporcionando-lhes “uma visão muito mais rica das técnicas utilizadas”.

Para mais informações, consulte o artigo completo no WeLiveSecurity.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

four × two =

*