Cenário atual mundial
Escrevo esse artigo no início de 2021. Nesse exato momento, o mundo e em particular o Brasil, estão passando pelo maior desafio da atual geração. Todas as nossas rotinas e formas de lidarmos com as pessoas foram alteradas, em especial, a forma como trabalhamos. Grande parte dos trabalhadores estão em suas casas, praticando o chamado “home office”, com desafio de realizar as mesmas atividades que antes eram realizadas dentro das organizações com o mesmo nível de qualidade. Essa nova realidade mostrou que o ambiente corporativo pode ser ampliado até nas casas dos seus colaboradores, porém será que essa mudança não apresenta riscos? Em menos de um ano, grande parte das organizações tiveram que repensar suas operações para se ajustarem a esse novo modelo. Será que é simplesmente solicitar aos colaboradores a trabalharem de casa da mesma forma que era feito na empresa? Adicionando a esse cenário inicial, pense que no ano de 2020, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor tornando “lei” o direito do cidadão frente a Segurança e Privacidade dos dados. Realmente um ano para ficar na história, certo?
Cenário Atual de SI
Conforme mencionado no parágrafo acima, todas as corporações estão enfrentando o desafio de ter suas operações sendo realizadas no formato remoto ou híbrido (parte remota/parte presencial). Para definir o melhor formato de trabalho, precisamos entender que fatores cruciais como cultura corporativa, tipo de negócio, infraestrutura física e lógica, tipo de operações e outras variáveis podem influenciar nessa definição.
Diante desse novo modelo de trabalho, o usuário que trabalhava dentro da organização em um perímetro específico no qual ele acessava um desktop ao invés de um notebook, acessava internet através do firewall/proxy e era monitorado frequentemente tanto por câmeras quanto por softwares. Agora, não está mais dentro desse perímetro com tais camadas de proteção. Com essa mudança de trabalhar de casa, toda essa estratégia detalhada anteriormente não é mais efetiva e segura. Todo o perímetro teve que ser repensado, uma vez que o usuário possui um notebook, acessa dados da empresa da sua casa sem monitoração, acessa a internet da sua casa sem um proxy/firewall e seu comportamento na frente do notebook não está sendo monitorado/mensurado.
Acredito que esse desafio tenha sido da maioria das empresas durante os meses de 2020 e que as companhias que se adaptaram mais rápido, saíram em vantagem em comparação as empresas que não conseguiram tal migração. Um ponto importante a ser observado é que empresas que iniciaram sua transformação digital antes da pandemia, saíram na frente, uma vez que enxergaram que essa mudança para o digital iria ocorrer. No caso, a pandemia acelerou tal mudança vertiginosamente e a LGPD está reforçando essa necessidade de se investir em segurança e privacidade de dados.
Problema
Vamos ao problema. Como garantir a segurança das empresas nesse cenário de pandemia? Primeiramente, precisamos falar da famosa tríade de Segurança da Informação (pessoas, processos e tecnologia) e todos os três pilares precisaram ser alterados consideravelmente para se adaptarem ao cenário atual. A arquitetura tecnológica precisou mudar com os usuários em casa. Os processos que foram mapeados visando um formato de trabalho e operações, precisaram ser atualizados e os usuários precisaram ser conscientizados sobre o que poderiam ou não poderiam realizar, uma vez que estão trabalhando em home office.
Normalmente, a área de Segurança é conhecida pelas outras áreas das organizações como a área que cria restrições, bloqueios e limitações à organização. Muito disso se dá pela abordagem, comunicações junto as outras áreas e, principalmente, pelo baixo conhecimento dos usuários frente à Segurança da Informação. Então, como ter uma empresa engajada se eles não sabem sobre segurança, quais riscos e principalmente o porquê das limitações e restrições?
É importante ressaltar que uma campanha de conscientização em Segurança da Informação é muito mais do que e-mail marketing ou workshops. Uma campanha de conscientização precisa ser algo regular e rotineiro, que envolve toda a corporação que visa identificar, analisar quais são os pontos fracos e fortes de cada um dos colaboradores e treiná-los nos pontos fracos. Como diz o ditado: você não gerencia aquilo que você não mede. Por esse motivo, é fundamental a adoção de uma campanha.
Sobre o treinamento de SI, será que os colaboradores foram treinados sobre segurança da informação antes da pandemia? Será que eles sabem o que podem ou não fazer? Será que as organizações estão medindo o nível de maturidade dos seus colaboradores e testando-os, uma vez que eles apresentam um grande risco nesse novo formato? Mas pensando bem, qual seria o risco de um usuário trabalhar de casa?
Abaixo, estão elencados alguns riscos:
- Vazamento de dados corporativos;
- Malware e ransomware;
- Utilização indevida do ativo corporativo;
- Utilizações de softwares maliciosos;
- Phishing.
Solução
Durante os últimos anos, todos os elementos computacionais foram alterados, tais como: processamento computacional, velocidade das redes de computadores, novas aplicações e outros elementos. O único elemento que se manteve inalterado durante todas essas décadas, foi o usuário. Ainda precisamos de usuários para interagir com os sistemas computacionais, e com isso, precisamos tornar o usuário um componente que apoie na segurança dos sistemas, algo que nunca foi abordado firmemente pelas organizações. Nos últimos anos, grande parte das iniciativas foram concentradas na tecnologia sempre acreditando que um firewall, antivírus e outros itens iriam garantir a segurança e conformidade no ambiente corporativo. Infelizmente, isso não é possível. Um sistema seguro pode ser comprometido com um usuário mal treinado que compartilha suas senhas, dados corporativos e clica em qualquer e-mail que chega em sua caixa de entrada. No fim das contas, o elo mais fraco da tríade é o usuário, porém caso ele seja bem treinado, pode ser o elo mais forte. Mas como podemos fazer isso? Se é algo que não foi feito nessas últimas décadas, porque devemos investir agora? Sobre essa perspectiva, a Segurança da Informação nunca foi algo que as corporações se preocupavam e sempre foi vista como despesa, diferentemente da área de Tecnologia que sempre obteve grandes investimentos nas últimas décadas, pois é mais fácil comprovar o retorno sobre o investimento. Um outro ponto que precisamos apresentar nesse artigo é que a mentalidade do cenário de segurança sempre foi detecção e proteção. Essa visão é reativa e ultrapassada. Atualmente, tem se falado mais de resposta a incidentes e treinamentos de Segurança visando não só o que pode ocorrer, mas sim, evitando que aconteça, como é o caso de conscientizar o colaborador, e caso aconteça, como podemos responder de forma adequada através de processos e tecnologias junto a responder incidentes de segurança.
Entrando a fundo no assunto de conscientização, recentemente, a empresa KnowBe4 lançou um relatório de Phishing pela Indústria considerando todo o ano de 2020 no qual mostra que o phishing continua a ser a ameaça n°1 usada para ataques bem-sucedidos vinculadas a ataques de engenharia social e malware.
Analisando o impacto do treinamento
Para o escopo desse relatório, foi considerado o quantitativo abaixo. É importante lembrar que nunca houve na história da Segurança da Informação um estudo tão extenso e tão diverso quanto este da Knowbe4.
Depois dessa análise, foram identificados, os top 3 de verticais com mais riscos de acordo com o trabalho desenvolvido pela Knowbe4. Nota-se um risco muito alto em organizações médicas e/ou farmacêuticas.
Para entender o impacto do treinamento de conscientização de segurança, medimos os resultados nesses três pontos de contato para responder o seguinte:
Durante esse estudo, foram consideradas três fases de benchmarking:
- Fase um: Resultados do teste de segurança de phishing de linha de base;
- Fase dois: resultados do teste de segurança de phishing em 90 dias de treinamento;
- Fase três: resultados do teste de segurança de phishing após mais um ano de treinamento contínuo.
Resultados
Fase um: Resultados do teste de segurança de phishing básico
O teste de segurança de phishing inicial foi administrado em organizações que não realizaram nenhum treinamento de conscientização sobre segurança. Os usuários não receberam nenhum aviso e os testes foram administrados em pessoas não treinadas e desavisadas realizando suas tarefas regulares de trabalho.
Os resultados indicaram um nível de alto risco. Em todos os setores e tamanhos, a porcentagem média com tendência a Phish foi de 37,9%. Isso significa que de 1 a 3 funcionários costumavam clicar em um link ou e-mail suspeito ou obedecer a um pedido fraudulento, quase o mesmo resultado do ano de 2019.
Fase dois: resultados do teste de segurança de phishing dentro de 90 dias de treinamento
Quando as organizações implementaram uma combinação de treinamento e simulação do teste de segurança de phishing, após esse teste de linha de base inicial, os resultados foram alterados dramaticamente. Durante os 90 dias, após o treinamento completo, a porcentagem de propensão a Phishing foi reduzida em mais da metade para 14,1%, consistente com os estudos de 2018 e 2019.
Fase três: resultados do teste de segurança de phishing após mais de um ano de treinamento contínuo
Nesta fase, medimos as habilidades de conscientização de segurança após 12 meses ou mais de treinamento contínuo e testes de segurança de phishing simulados, além de procurarmos um usuário que tenha concluído o treinamento há pelo menos um ano, e partir daí, analisamos os resultados de desempenho baseado em seu último teste de phishing. Os resultados foram dramáticos, mostrando ter uma consciência consistente e madura. O programa de treinamento levou o PPP médio de 37,9% até 4,7%, demonstrando eficácia dramática em todos os tamanhos da indústria e verticais.
Resumindo as 3 Fases:
Desafios
Esse estudo mostra que um a cada três usuários poderão ser um vetor de phishing podendo comprometer a sua empresa independentemente da quantidade de processos e tecnologia que ele possua em seu ambiente. Se você endereçou o tema pontualmente, isso pode ser um risco grande, já que vemos um avanço nas maturidades de Segurança somente após 90 dias de treinamentos e conscientização regulares. Endereçar campanhas e treinamentos é desafiador, pois interagimos com toda a organização considerando o estagiário até o presidente da empresa e só vemos grande evolução após um trabalho longo e contínuo. Palestras e apresentações sobre Segurança da Informação são importantes e necessárias, porém elas não terão continuidade, pois, a maturidade dos usuários não será medida e eles não serão regularmente testados, portanto, é uma estratégia que possui riscos. Acredito que o grande desafio seja os membros da diretoria das organizações entenderem o risco que uma empresa pode ter com um usuário mal treinado e o impacto positivo e financeiro que uma organização pode obter com seus usuários bem treinados. A área de segurança tem um grande desafio de demonstrar o ROI (Return Of Investiment) para soluções e serviços de Segurança, e esse caso não será diferente.
Conclusão
Já passou da hora das organizações entenderem que o usuário necessita de treinamento de Segurança da Informação. Vemos a cada dia, mais vazamentos, mais ataques cibernéticos, mais fraudes e outros eventos que começam com um simples e-mail enviado para uma pessoa mal treinada que clica em um arquivo e simplesmente começa um ataque que pode parar as operações de uma pessoa, uma área ou até de uma companhia como um todo. Investir em treinamento é infinitamente menos custoso que em tecnologia e possui resultados mais sólidos e efetivos ao longo dos anos. É fundamental esse tema estar em discursões e ser endereçado o quanto antes. Usuários treinados são fundamentais para a empresa e para a própria vida pessoal deles, uma vez que as ameaças não escolhem entre pessoa física e pessoa jurídica e todos estamos vulneráveis.
Fontes:
https://www.knowbe4.com/hubfs/2020PhishingByIndustryBenchmarkingReport.pdf
Comments