Cybersecurity: construindo um firewall humano
Hoje, trazemos um relato do Yan Porfirio, analista de segurança da informação da Convenia, sobre como a empresa conseguiu construir um firewall humano com o Hacker Rangers. Confira abaixo! :)
Introdução
Olá, pessoal, tudo bem? Me chamo Yan e hoje sou analista de segurança da informação na Convenia. Recentemente, iniciamos uma jornada de conscientização e treinamentos relacionados à segurança da informação e LGPD com todos os nossos colaboradores. A plataforma escolhida para nos apoiar foi a Hacker Rangers!
Com a ajuda desse parceiro e o engajamento dos nossos colaboradores, começamos a colher muitos bons frutos relacionados à proteção de dados aqui na Convenia. No decorrer deste artigo, irei pontuar os desafios encontrados, algumas mudanças positivas e os resultados refletidos no dia a dia da nossa empresa.
Análise inicial
Para entender em que ponto nos encontrávamos, me baseei em um teste phishing feito por uma outra plataforma alguns meses antes de iniciarmos esse novo formato de treinamento. Nesse teste, a porcentagem de clique dos colaboradores no phishing simulado foi de 35%.
Além de esse ser um número bastante expressivo, notamos que os colaboradores não consumiam conteúdos de qualidade com relação às boas práticas de segurança da informação, muito menos da forma adequada. Como consequência, existia uma dificuldade em alcançar uma conscientização assertiva, que refletisse hábitos seguros no dia a dia.
Desafios iniciais
Encontramos alguns desafios para implementar o nosso programa de conscientização. Acredito que vale a pena pontuar dois:
-
O primeiro foi a dificuldade de manter o engajamento dos colaboradores. Geralmente, os conteúdos de cibersegurança costumam ser maçantes, pouco interativos e repletos de um linguajar mais técnico. Dessa forma, torna-se muito difícil “prender” a atenção dos colaboradores, que não estão acostumados com alguns termos sobre o assunto.
-
O segundo desafio encontrado logo no início da caminhada foi a dificuldade de realizar testes de phishing em massa. A maioria das plataformas oferece um modelo “travado”, que não podemos mudar, ou que sempre cai no spam na caixa de e-mail. Isso acaba não só dificultando a execução do teste, mas também mascarando o resultado real.
Hacker Rangers ao resgate!
Após identificarmos esses desafios, começamos uma parceria com a plataforma Hacker Rangers, que oferece conteúdos sobre cibersegurança e LGPD de uma maneira mais leve, com cursos de curta duração e linguagem de fácil entendimento.
Mas o principal é que ela nos permite criar um ciclo de competição gamificada, que acende um espírito de competitividade e mantém os colaboradores engajados durante toda a temporada, que dura 12 semanas.
Essa ferramenta também conseguiu nos atender na questão do teste de phishing, já que a plataforma é toda interativa e nos proporciona a opção de editar o e-mail da maneira que queremos. Além disso, caso exista alguma interação do usuário com a mensagem, como um clique no e-mail ou uma submissão de dados, ele é automaticamente direcionado para uma página que o avisa que ele caiu em um teste de phishing simulado, que também apresenta algumas orientações para que isso não volte a acontecer.
A ideia no nosso teste de phishing não é prejudicar ou enganar nossos colaboradores, mas, sim, medir o nosso grau de maturidade em segurança e, principalmente, treiná-los para não cair em phishings reais, visto que esse tipo de golpe cresce de maneira assustadora dia após dia. E ter recursos para disparar e-mails personalizados, com a nossa identidade visual e com o domínio o mais próximo do nosso, nos ajuda muito nessa tarefa de conscientização e treinamento para situações reais.
Após pouco mais de 3 meses, começamos a colher os resultados desse programa de conscientização e treinamentos. Conforme dito anteriormente, em nosso último teste de phishing, realizado antes do começo desse programa, o índice de clique dos colaboradores era de 35%. No teste mais recente, após o início da conscientização com o Hacker Rangers, conseguimos diminuir esse índice para 6,4%. Sabemos que em uma campanha phishing existem diversos fatores subjetivos, mas esses números já nos fornecem um norte para onde seguir.
O papel das ciberatitudes na construção de um firewall humano
Além de uma melhoria expressiva no número de cliques em simulações de phishing, o que mais nos chamou a atenção foi a mudança de cultura dos colaboradores. Depois desses três meses, quando eles recebem qualquer e-mail suspeito ou com algum conteúdo estranho, antes de clicarem em qualquer coisa, eles me procuram e pedem orientação, ou denunciam como spam e depois me notificam. O mais legal é que a plataforma oferece uma ferramenta típica para isso: as chamadas “Ciberatitudes”, um espaço onde o colaborador pode dar dicas e sugestões variadas e, o mais importante, reportar os riscos de segurança identificados na empresa.
Essa mudança era o que esperávamos de fato. Uma mudança de cultura, uma criação de um “firewall humano”, pois se todos estiverem engajados e consumindo um conhecimento de qualidade, todos estarão preparados para identificar ameaças, reportar riscos em potencial e não cair em golpes — não só no ambiente corporativo, mas também na sua vida pessoal!
Esse foi outro ponto importante para nós: não criar apenas colaboradores mais conscientes, mas pessoas mais conscientes, que compartilham o conteúdo aprendido com seus amigos e familiares, difundindo esse conhecimento e diminuindo cada vez mais os crimes virtuais. Na imagem abaixo, podemos ver como os colaboradores interagem e dão feedbacks via Ciberatitudes:
O nosso objetivo é diminuir ainda mais os números obtidos no último teste de phishing. Após o encerramento da temporada, convidamos toda a empresa para uma reunião e, conforme demonstrado na imagem abaixo, apresentamos o resultado alcançado e demos dicas de como não cair em futuros testes de phishing — e, principalmente, em phishings reais.
Alertamos a todos de existem alguns padrões em tentativas de golpes online, tais como: assuntos urgentes ou que exigem uma rápida resposta; produtos milagrosos que prometem resolver seus problemas de forma rápida e simples; erros ortográficos; anexos suspeitos; e, claro, a solicitação de conteúdo sigiloso.
Certificação
Compartilhamos da ideia de que nossos clientes são a alma e a razão da nossa existência e merecem sempre o melhor. E, visando oferecer esse melhor a eles, conseguimos, após a nossa primeira temporada, a certificação White Certified, concedida pela Hacker Rangers.
Essa é uma forma de reconhecimento para empresas que realizam programas de conscientização em cibersegurança de forma engajada e positiva, que incentivam a mudança de comportamento no trabalho e na vida pessoal e que obtêm, como resultado, colaboradores com amplo conhecimento das políticas da empresa, que atuam ativamente para prevenir e reportar incidentes.
Nosso anseio agora é manter os nossos colaboradores engajados e aumentar cada vez mais a excelência do nosso programa!
Conclusão
Após esse tempo de maturação do nosso programa, constatamos que um programa de conscientização é fundamental para qualquer empresa, pois, com uma campanha bem construída, conseguimos oferecer conteúdo de qualidade e informações importantes para nossos colaboradores.
Agora, eles conseguem refletir analiticamente sobre cada ação a ser executada, aumentando, assim, o nosso grau de maturidade em questões de segurança. Como consequência, conseguimos oferecer um produto ainda mais seguro para o nosso cliente!
Produção: Yan Porfirio, analista de Segurança da informação da Convenia
