Marcelo Mendes, gerente de TI – CISO, alerta para novas oportunidades exploradas pelos cibercriminosos e lista passos importantes para promover a segurança da informação dentro das corporações
Com um cenário em constante evolução, cibersegurança se tornou uma prioridade para empresas de todos os segmentos. Ataques como o phishing, técnica de engenharia social usada por cibercriminosos para enganar indivíduos e obter informações confidenciais, como senhas, números de cartão de crédito e dados financeiros, têm se tornado mais sofisticados, desafiando cada vez mais as organizações.
Segundo Marcelo Mendes, gerente de TI – CISO da Hypeone, empresa de soluções digitais e cibersegurança da Neo, especialista em tecnologia para o mercado de customer experience, cibercriminosos têm investido em abordagens capazes de enganar até os usuários mais cautelosos, se passando por entidades ou indivíduos confiáveis para induzir as vítimas a revelarem informações pessoais ou, até mesmo, corporativas. “Vale destacar que tudo o que for adotado como política de segurança precisa estar integrado com a estratégia de negócios da empresa, demonstrando como a segurança contribui para o sucesso geral do negócio”, explica.
Para o executivo, é imprescindível que as empresas invistam em conscientização e educação dos funcionários, para que seus dados não sejam colocados em risco. “É possível fazer simulações de phishing e outros tipos de ataques para testar e melhorar a resposta dos colaboradores, além de organizar competições internas que desafiem os funcionários a encontrar e corrigir vulnerabilidades, promovendo um ambiente de aprendizado ativo com a incorporação de elementos de gamificação nas iniciativas de segurança, fazendo com que o aprendizado seja mais envolvente e divertido”, destaca Mendes.
Veja a seguir informações importantes que Mendes separou para ajudar empresas e usuários a identificar ataques maliciosos e dicas de prevenção e governança para que o seu ambiente corporativo esteja seguro:
Atenção às novas abordagens de ataque
● Phishing em Redes Sociais: Com o aumento do uso das redes sociais para negócios e networking, os criminosos criam perfis falsos e se passam por colegas ou contatos de confiança. São enviadas mensagens diretas com links maliciosos ou anexos, frequentemente disfarçados como documentos importantes ou convites.
● Phishing por Voz (Vishing): Em vez de apenas e-mails, eles utilizam chamadas telefônicas para obter informações confidenciais. Com técnicas de engenharia social, eles convencem as vítimas a divulgar dados pessoais ou a realizar transferências bancárias.
● Phishing via SMS (Smishing): Mensagens de texto fraudulentas são enviadas contendo links para sites falsos que solicitam informações pessoais ou credenciais de login. Muitas vezes, se passam por bancos, serviços de entrega ou outras instituições de confiança.
● Phishing em Aplicativos de Mensagens: Aplicativos como WhatsApp e Telegram, por exemplo, têm sido alvo crescente deste tipo de ataque. Os golpistas criam mensagens convincentes, muitas vezes com links que parecem legítimos, direcionando as vítimas para sites de phishing.
● Phishing Personalizado (Spear Phishing): Utilizando informações específicas sobre suas vítimas, os criminosos criam e-mails altamente personalizados que parecem vir de fontes confiáveis. Isso aumenta significativamente a probabilidade de sucesso do ataque.
6 dicas para empresas se protegerem
● Desenvolva e implemente programas de treinamento regulares e contínuos, que abordem tópicos essenciais de segurança como reconhecimento de phishing, criação de senhas seguras e práticas de navegação segura.
● Crie uma cultura de segurança com a liderança como exemplo, demonstrando o comportamento seguro em suas práticas e inspirando os outros a fazerem o mesmo.
● Comunique-se com frequência, enviando e-mails e alertas sobre as últimas ameaças e melhores práticas de segurança.
● Promova o engajamento interativo por meio de workshops e palestras, levando especialistas para compartilhar conhecimentos e responder às perguntas dos colaboradores.
● Tenha procedimentos claros, bem documentados e facilmente acessíveis a todos os funcionários. Atualize as políticas regularmente para refletir as novas ameaças e tecnologias e esteja preparado para realizar análises após um incidente, para identificar falhas e melhorar os processos de segurança.
● Implemente e promova o uso de ferramentas como gestores de senhas, software antivírus e soluções de autenticação multifator. Também é importante investir em ferramentas de monitoramento de segurança, para identificar comportamentos de risco e fornecer feedback imediato aos colaboradores.
“Ao adotar uma abordagem multifacetada, que combine treinamento, cultura, tecnologia e comunicação, os executivos de Segurança da Informação podem efetivamente engajar e educar toda a organização. A criação de uma cultura de segurança forte não só protege a empresa contra ameaças, mas também promove um ambiente de trabalho mais consciente e proativo”, finaliza Mendes.