Recursos/White Papers

Gestão

Três precauções anti-phishing nas redes sociais

Mencionar o período de férias é um dos principais erros

Da Redação, com IDG News Service

Publicada em 12 de julho de 2017 às 17h55

As redes sociais são minas de informações pessoais para cibercriminosos, especialmente para phishing especificamente direccionado. 

Há três tipos de informação que os profissionais não devem revelar nas redes. Dados sobre aniversários, endereços, ou outras informações que possam ser usados ​como componentes de senhas estão entre eles, assim como indícios do período em que vão tirar férias. Funciona como um anúncio sobre a sua ausência e ajuda o processo de reconhecimento de campo para os criminosos. O número do smartphone também abre portas. Os cibercriminosos estão ficando mais criativos e  estão ligando para funcionários específicos pedindo informações. Alguns ligam fingindo ser da assistência técnica interna a dizerem que precisam de redefinir senhas.

Em caso de dúvida, se pressentirem alguma coisa de estranho, os trabalhadores têm de pedir informações de contacto e examinar a situação. Mas antes dessa barreira de segurança, há ainda várias boas práticas na gestão da tecnologia e para a formação dos funcionários.

engenhariasocial

 

Também são três as medidas capazes de neutralizar 95 a 99% das tentativas de phishing:

 Implantar uma forma de quarentena para mensagens recebidas: basta implementar uma solução que verifique a segurança de um link enviado quando um usuário clica nele. Isso protege contra uma nova táctica de phishing, na qual os criminosos enviam URLs na tentativa de não serem pegos pelos dispositivos de segurança para emails mantidos pela organização.

– Analisar e inspeccionar o tráfego proveniente da Internet, em tempo real: Significa dizer que o gateway de segurança para o tráfego de Internet precisa ser inteligente, analisar o conteúdo em tempo real e ser 98% eficaz no combate ao malware.

– Trabalhar para mudar o comportamento do empregado: o elemento humano é incrivelmente importante, face ao poder das tácticas de engenharia social.

Uma das melhores formas de fazer o comportamento dos empregados evoluir é provocar o erro e corrigir a pessoa. Selecciona-se um grupo de pessoas de cada departamento e envia-se um email de phishing personalizado. Usa-se apenas informações passíveis de serem obtidas em redes sociais (Facebook, Twitter, LinkedIn, etc.). Por exemplo, caso sejam adeptas de algum clube local pode-se enviar um convite para um evento de apoio à equipe. E quando eles clicarem no link incluído, comunicam-se as melhores práticas de forma positiva.

Pedir ajuda ao marketing pode ser útil. Uma parceria com o departamento de marketing pode ajudar na comunicação com os funcionários. A equipe de marketing é especializada em comunicar com diferentes públicos e pode aplicar os seus conhecimentos na vertente interna da organização.

Crie um plano de comunicação que ambas as equipes possam executar e monitorizar os métodos mais eficazes.

Mude a forma como a mensagem é comunicada. Algumas pessoas aprendem visualmente e outras mais pelo discurso. Para muitos, é uma combinação de ambos.

Altere a forma como a sua mensagem de segurança é entregue aos funcionários. Comece com um e-mail mensal, uma sessão online ou por Intranet. Eleve o grau formação presencial.

Usar esses diferentes meios ajudará a sua mensagem a repercutir mais. É precisar comunicar uma mensagem várias vezes para que seja fixada.

Quando uma grande empresa aparecer nas manchetes por uma violação de dados, porque um funcionário clicou em um link malicioso, comunique imediatamente como exemplo de algo que poderia acontecer com sua base de funcionários. É oportuno, apelativo e estará no radar dos executivos.

E recompense o bom comportamento. A segurança de TI está associada à desgraça e tristeza. Mas pode-se mudar essa percepção recompensando os funcionários pela detecção de uma ameaça ou falha de segurança.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui