Se sua empresa foi vítima de hackers, não adianta culpar os funcionários
Culpá-los por ataques cibernéticos pode ter consequências negativas tremendas e criar uma cultura de medo e desconfiança
Consegui o emprego que sempre quis, mas me sinto culpada por causa das consequências não intencionais do meu trabalho. Sou uma hacker profissional e minha função é atuar como “criminosa”. Felizmente, não enfrento nenhuma repercussão legal. Isso porque trabalho para organizações que me contratam para invadir e testar seus sistemas e seus funcionários.
Minha ferramenta preferida é o phishing e outros tipos de ataques de engenharia social. Busco os pontos fracos na segurança da empresa antes que um invasor de verdade tenha a chance de fazê-lo. O objetivo é dar a elas uma vantagem na defesa contra ataques cibernéticos.
A demissão é uma maneira ultrapassada de lidar com violações de dados e algo que as empresas precisam deixar para trás.
Um dos meus maiores medos – e uma consequência indesejada do meu trabalho – é que alguém seja demitido após falhar em um ataque simulado. A demissão é uma maneira ultrapassada de lidar com violações de dados e algo que as empresas precisam deixar para trás. Infelizmente, acontece com mais frequência do que se possa imaginar.
Estudos recentes, como o realizado pela Tessian, mostram que um em cada quatro funcionários perdeu o emprego devido a falhas de segurança. Mas puni-los por caírem em golpes de phishing, definitivamente, não é a solução. Isso apenas perpetua o problema.
As empresas precisam encontrar uma maneira mais eficaz de abordar a situação. Simplesmente culpar os empregados por não terem conhecimento suficiente não resolve nada.
As ameaças estão se tornando mais difundidas e sofisticadas a cada dia e nem mesmo profissionais de segurança cibernética estão livres de cair em alguma delas. Com o phishing 3.0 chegando, é fundamental que as empresas saiam da zona de conforto e comecem a adotar novas estratégias.
MESMO PHISHING, TÁTICAS DIFERENTES
O phishing existe desde os primórdios da internet. Mas, ao longo de seus 30 anos, a prática criminosa passou por uma transformação significativa e, recentemente, se tornou uma ameaça muito mais complexa e desafiadora.
O phishing existe desde os primórdios da internet, mas tem se tornado uma ameaça muito mais complexa e desafiadora.
Em 2022, um relatório da IBM mostrou que o “sequestro de thread”, um tipo específico de phishing, havia crescido 100% em um ano. Essa tática envolve hackers que se infiltram na conta de e-mail de um indivíduo e se fazem passar por ele, enviando mensagens com seus contatos.
Soa familiar? É a mesma prática utilizada em golpes que tomaram conta das redes sociais, nos quais criminosos criam perfis falsos para enganar os seguidores de um usuário.
Aproveitando-se da confiança já estabelecida com o dono da conta, o golpista ataca quando os conhecidos daquela pessoa baixam a guarda. O grande problema é que novas tecnologias, como o ChatGPT, têm tudo para tornar esses ataques ainda mais difíceis de detectar.
Está claro que estamos nos aproximando de uma nova era de “phishing 3.0”. E a maioria das pessoas e empresas não está preparada para se defender desses ataques cada vez mais sofisticados.
Aqui estão três coisas que as empresas precisam fazer para criar uma estratégia mais eficaz para combater os novos ataques de engenharia social.
PROGRAMAS DE TREINAMENTO DE SEGURANÇA
Os invasores estão constantemente inovando e encontrando novas maneiras de não serem detectados. É por isso que agora, mais do que nunca, as empresas devem treinar seus funcionários para acompanhar o crescimento acelerado e a sofisticação dos ataques de engenharia social.
a maioria das pessoas e empresas não está preparada para se defender desses ataques cada vez mais sofisticados.
Isso inclui ajudá-los a entender como os cibercriminosos praticam os ataques, por que são tão bem-sucedidos e quais as táticas e técnicas mais recentes que estão usando.
Sabendo como funcionam, as pessoas serão capazes de identificar ataques de phishing, sejam simulados ou reais. Cibercriminosos vêm usando a psicologia contra nós nos últimos 30 anos. Agora é hora de virar o jogo.
ADOTAR E AVALIAR TECNOLOGIAS DE SEGURANÇA
O treinamento é essencial, mas garantir que a tecnologia certa esteja disponível e sendo usada para prevenir ataques é tão importante quanto. Em 2021, um estudo da IBM descobriu que 67% das empresas sofreram violações mais de uma vez.
Nenhum negócio hoje é impenetrável. É por isso que ter a tecnologia certa para detectar, responder e prevenir um ataque é tão importante.
Mas não basta adotá-la. Ela precisa ser avaliada com frequência para acompanhar o ritmo das ameaças que enfrentamos hoje. São necessários testes e simulações constantes com base nas ameaças mais recentes. Quando uma falha é identificada, ajustes precisam ser feitos.
FOCAR NA RAIZ DO PROBLEMA
Para evitar que incidentes aconteçam no futuro,
um estudo da IBM de 2021 descobriu que 67% das empresas sofreram violações mais de uma vez.
é importante entender a causa raiz do problema. Isso pode envolver uma combinação de fatores técnicos, processuais e humanos. Portanto, é preciso uma abordagem abrangente para identificar todas as causas potenciais.
Só é possível impedir que a história se repita quando estudamos os erros do passado. Por isso, devemos analisar todas as falhas envolvidas no ataque, não apenas o ponto inicial ou o ponto no qual o sistema foi comprometido.
Culpar os funcionários por ataques cibernéticos pode ter consequências negativas tremendas, não apenas para a vítima, mas para a própria empresa, já que pode criar uma cultura de medo e desconfiança.
É por isso que é tão importante acabarmos com esse tipo de punição e começarmos a nos concentrar em ter a tecnologia, a análise e o treinamento certos para ajudar os funcionários a não caírem em golpes pela internet.