Seis Políticas de Segurança da Informação que podem evitar ataques de phishing

Uma das primeiras coisas a serem pensadas quando pessoas se juntam para fazer qualquer coisa de maneira civilizada é definição e formalização de regras. Pense em qualquer situação: convivência em um condomínio? Regras. Investimentos financeiros? Regras. Legislação de um país? Regras. Participação em fóruns de discussão? Mais regras. Regras existem para nortear as práticas e os grupos sociais.

É evidente que algumas regras podem gerar algum incômodo e às vezes “burocratizar” as coisas, mas geralmente elas têm o objetivo de organizar e tornar justo o uso de recursos. Quando falamos em segurança de informações nas empresas, a definição de regras – concentradas em uma Política de Segurança da Informação – é algo muito importante. Ali se define tudo que é permitido ou proibido na organização, criando condições para proteger a empresa de diversos ataques. Incluindo os ataques feitos através de phishing.

Neste post iremos detalhar seis características presentes em Políticas de Segurança da Informação que geram consequências diretas e eficazes no combate ao phishing.

 

1 – Organização

Quanto mais desorganizada é uma empresa, mais insegura ela é.

É  muito difícil implementar segurança sem as pessoas se dedicarem a olhar para o ambiente, separar as informações críticas das de menor criticidade e dedicar tempo, esforço e dinheiro para proteger o que realmente importa.

Quem tem um ambiente desorganizado dificilmente sabe especificar de maneira clara quais recursos (servidores, data centers, equipes, estações de trabalho, etc.) precisam de mais ou menos proteção. Dessa forma, há somente dois caminhos a seguir: ou se aplica um alto nível de segurança em tudo, ou se faz o que é possível, sem distinção, e com os recursos disponíveis.

Considerando que nenhuma empresa possui orçamento ilimitado para investir em segurança, o caminho que muitas organizações desorganizadas seguem é o de “nivelar por baixo”, aplicando medidas de segurança abaixo do necessário para os recursos mais críticos.

Com uma Política de Segurança da Informação em vigor, a empresa transforma em rotina diversas atividades para diagnosticar os riscos em seus recursos. Organizando o ambiente, distinguindo claramente quais recursos precisam de mais ou menos proteção e apontando qual é o melhor caminho a seguir.

 

2 – Padronização

Organizar o ambiente é, também, estabelecer padrões.

Ao implementar uma Política de Segurança da Informação são definidas as versões padrão de sistemas, da configuração das redes, de documentações e de outros dispositivos. Quando um ambiente é padronizado é possível estabelecer controles no sistema operacional que impeçam, entre outras coisas, a instalação ou cópia de arquivos maliciosos típicos de phishing.

 

3 – Controles adicionais para ambientes críticos

Adote ferramentas e sistemas para aumentar o nível de segurança.

A partir do diagnóstico do que realmente importa proteger em uma empresa, é possível  determinar onde a maior parte do dinheiro será aplicada. Por exemplo, uma empresa que vende com cartão de crédito deve considerar o seu sistema de pagamentos como um dos mais críticos da organização. É nele, e em outros de criticidade semelhante, que deve ser investida a maior parte do orçamento de segurança.

Políticas de Segurança geralmente estabelecem quais os critérios a serem seguidos em cada um destes ambientes vitais para a companhia, criando assim uma camada adicional de segurança.

 

4 – Monitoramento e alertas

Implante mecanismos para monitorar a sua rede.

Considerando que o ambiente está organizado, instalado conforme padrões preestabelecidos e que existem ainda outros controles para proteger ambientes críticos, é possível estabelecer alertas para casos suspeitos.

Em ambientes de baixo nível de segurança, os phishings são instalados de maneira silenciosa e ninguém é alertado. Isso não acontece em lugares em que vigora uma Política de Segurança da Informação. Nesses ambientes, tudo que foge à regra gera alertas para as equipes técnicas.

 

5 – Treinamento e conscientização

A melhor forma de evitar o problema é com mudança de comportamento.

É evidente que, embora existam vários mecanismos tecnológicos para o combate ao phishing, a melhor forma de enfrentar o problema é conscientizando as pessoas sobre ataques desse tipo e ensinando como elas devem se proteger. A mudança de comportamento do usuário é a peça chave para um combate efetivo ao phishing.

O primeiro passo é definir os setores e os grupos de colaboradores a serem treinados, e estabelecer as regras e termos de treinamento conforme a Política de Segurança da Informação da empresa. Adotar o um sistema treinamento online é importante, contudo é necessário avaliar a evolução da equipe.

El Pescador oferece diversos tipos de treinamento anti-phishing direcionado para colabores de áreas como Recursos Humanos, Diretoria, Financeiro, entre outros. Nosso dashboard exibe em tempo real quais usuários caíram no phishing, quais deles realizaram o treinamento e quais a notas foram obtidas no teste final. Ao final de um ciclo educacional, os colaboradores terão sido treinados diversas vezes e estarão mais preparados para lidar com ataques de phishing. O desempenho dos usuários pode ser analisado a partir dos relatórios das campanhas. Solicite uma campanha demonstrativa gratuita pelo nosso site.

 

6 – Tratamento de incidentes

Se houver suspeita de ataque, investige.

Alertas envolvendo, por exemplo, a modificação não autorizada de arquivos importantes para a organização – algo comum em ataques de phishing –  precisam ser avaliados de modo a identificar se há um ataque em curso. Caso uma atividade hostil seja confirmada, é necessário tomar as medidas de investigação e correção de vulnerabilidades para impedir que o incidente volte a acontecer. Todas estas medidas devem ser especificadas em anexos da Política de Segurança da Informação.

Tudo isso demonstra a vantagem da definição de regras para a proteção das informações em uma empresa e a adoção de sistemas de apoio à segurança da informação. É importante ressaltar que, sem a participação efetiva das pessoas nessas Políticas de Segurança, a sua rede nunca estará 100% segura.

Procure conhecer todos os detalhes das de sua empresa e estabeleça suas regras. Proteja a sua equipe com El Pescador.


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*