Analista de Segurança vítima de phishing deve ter acesso rebaixado?

Agências Federais dos EUA decidiram baixar o nível de credencial de funcionários que falham em testes internos de phishing

Para reforçar a segurança nas Agências Federais dos Estados Unidos, o Escritório de Gestão Pessoal decidiu fazer testes de phishings para avaliar a vulnerabilidade dos funcionários. O objetivo é identificar quais agentes estão mais expostos a roubos de credenciais de acesso, registros pessoais e informações sensíveis através de ataques phishing. Aliado à uma campanha de conscientização promovida pelo National Counterintelligence and Security Center, mais agências estão utilizando ferramentas de auditorias que simulam ataques de phishing, assim como faz o El Pescador – A primeira plataforma de phishing do Brasil. Os funcionários que caírem nos testes internos de phishing agora são obrigados a fazer aulas de reciclagem. Em outros casos, eles são expostos publicamente pelos seus erros e, nos casos mais graves, podem ter seu nível de clearance (credenciais) rebaixado na empresa, passando a ter um acesso menos restrito.

De acordo com um relatório da DefenseOne, Paul Beckman, do Department of Homeland Security CISO, afirmou durante um evento de cibersegurança, em Washington, na última semana, que ele envia seus próprios e-mails destinados a imitar tentativas de ataques de phishing para os funcionários para ver quem cai no golpe. Ele acredita que“é hora de banir aqueles que reprovarem no teste de Phishing e proibi-los de terem acesso aos dados confidenciais do Governo por revogar suas credenciais”.

Para Beckman, os e-mails que simulam ataques externos equivalem a um flagrante na área de segurança. “É surpreendente ver quantas vezes eu consigo pegar esses usuários, incluindo gerentes sêniores e outros VIPs”, comentou. Segundo ele, um pequeno número de funcionários continuam a cair para os golpes, mesmo na segunda e terceira rodada de testes de phishing.

Níveis de confidencialidade da informação.
Níveis de confidencialidade da informação

Beckman falou que quer iniciar discussões com a Diretoria de Segurança sobre a incorporação de empregados DHS susceptíveis ao phishing e aptidão deles para lidar com informações sensíveis. “Alguém que não resiste a uma campanha de phishing, não deve estar fazendo a segurança uma TS SCI (top secret clearance) no Governo Federal. Esse funcionário demonstrou claramente que não é responsável o suficiente para lidar com essa informação de forma responsável”, enfatizou.

Mas será que rebaixar o nível das credenciais de acesso é a solução para reforçar a segurança de uma equipe? Afinal, se todos os técnicos caírem em testes internos de phishing, a quem a empresa deverá confiar o acesso top secret? Essa notícia nos traz duas certezas. A primeira é que, se os EUA estão aplicando esse mecanismo de segurança, é porque precisamos estar mais atentos aos colaboradores que dispõem de altos níveis de credenciais. E a segunda é que, tanto os testes de phishing, quanto a reciclagem, como faz o El Pescador, devem ser ferramentas constantes no ambiente de Segurança da Informação.

 


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*