A importância de educar os funcionários sobre ciberameaças

Cerca de nove entre 10 empresas permitem que seus funcionários acessem aplicativos fundamentais aos negócios usando seus dispositivos pessoais. De acordo com o relatório mais recente da Fortinet sobre o cenário de ameaças, o malware de Android representa 14% de todas as ciberameaças. Além dos ataques diretos, o número de sites comprometidos, phishing por email e pontos de acesso maliciosos continua aumentando de forma significativa, infectando usuários desavisados, independente do dispositivo que estiverem usando, com spyware, malware, aplicativos comprometidos e ransomware.

Quando estiver infectado, o dispositivo pessoal de um funcionário representa um risco ainda maior para a sua organização. Além de instalar um software de gerenciamento de dispositivos móveis e de proteção a clientes (security clients) para os funcionários, é fundamental criar um programa de conscientização sobre cibersegurança que forneça informações essenciais sobre como eles podem evitar esses riscos.

Fortinet destaca estão cinco elementos fundamentais que devem fazer parte de um programa de conscientização sobre cibersegurança:

• Cuidado com Wi-Fi público

Embora a maioria dos pontos de acesso de Wi-Fi público seja segura, isso nem sempre é verdade. Os criminosos costumam usar seu dispositivo como um ponto de acesso público, principalmente em locais públicos, como praças de alimentação ou em grandes eventos. Então, quando um usuário, sem saber, se conecta à internet por meio do dispositivo de um criminoso, o criminoso pode interceptar todos os dados que se deslocam entre a vítima e o site ou banco ou de compras online.

Muitos dispositivos inteligentes também buscam por pontos de conexão conhecidos automaticamente, como a rede Wi-Fi da sua casa. Ataques mais recentes sabem desse comportamento e simplesmente perguntam ao dispositivo o que ele está procurando. Para combater esses problemas, uma boa prática é desativar o Wi-Fi e o Bluetooth até que esses recursos sejam de fato necessários.

Os usuários também devem considerar a instalação de software VPN para garantir apenas conexões criptografadas seguras com serviços conhecidos.

• Use senhas fortes

Outro erro que os usuários cometem é usar a mesma senha em todas as suas contas online, geralmente porque é difícil lembrar das várias senhas exclusivas usadas nos sites onde eles têm conta. Mas se um criminoso conseguir interceptar essa senha, ele terá acesso a todas as contas do usuário, incluindo sites do banco e de compras.

A melhor opção é usar um cofre de senhas para armazenar o nome de usuário e a senha de cada conta, e assim o usuário só terá que lembrar da senha do cofre. Obviamente, o usuário deve tomar um cuidado adicional e garantir que a senha do cofre seja forte, mas fácil de lembrar.

Para aumentar a segurança, adicione autenticação de dois fatores para locais onde armazenar dados confidenciais. Este recurso é uma etapa adicional no processo de login e aumentará significativamente a segurança das contas e dos dados.

• Como reconhecer phishing

Você provavelmente já enfatizou aos usuários para que nunca cliquem nos links de anúncios enviados por e-mail ou publicados em sites, a menos que sejam verificados primeiro. Esses e-mails ou páginas apresentam várias indicações de phishing, como erros de gramática ou texto pobre, URLs complexas ou com erros ortográficos e layout sem requinte, que pode ser a principal indicação de que o e-mail é malicioso.

Mas sempre tem alguém que não resiste e abre o e-mail, clica no anexo de alguém que não conhece ou no link em um site, principalmente quando apresenta um assunto atraente. É por isso que todos os esforços de educação de funcionários precisam ser complementados com as soluções eficazes Email Security Gateway e Web Application Firewall, que podem detectar spam e phishing, validar links e colocar arquivos executáveis em um sandbox, incluindo e-mails pessoais, garantindo que nenhuma armadilha maliciosa chegue até o usuário final.

• Atualize os dispositivos e use software de segurança

Os usuários devem ter um software de segurança aprovado pela empresa instalado no dispositivo que utiliza para acessar os recursos da empresa. Esse software também precisa estar sempre atualizado e as verificações de dispositivos devem ser executadas regularmente.

Da mesma forma, os dispositivos de usuários precisam ser atualizados e corrigidos regularmente. A solução de controles de acesso à rede deve detectar se o software de segurança e o software do sistema operacional estão atualizados e, se não estiverem, os usuários devem ser redirecionados para um servidor de correção para executar as atualizações necessárias ou receber alerta sobre o status de falta de segurança do dispositivo.

• Monitore as redes sociais

Os criminosos costumam personalizar seus ataques para ganhar a confiança do usuário e fazer com que cliquem no link malicioso. O local mais comum para obter essas informações pessoais é nas redes sociais. A maneira mais fácil de evitar isso é manter fortes controles de privacidade que permitem apenas pessoas selecionadas visualizando a sua página. As pessoas que desejam ter um perfil aberto em rede social precisam selecionar com cuidado quem serão seus amigos virtuais.

É essencial desenvolver uma estratégia de segurança abrangente e eficaz para usuários que usam seus dispositivos para acessar a rede corporativa. Mas não cometa o erro de sufocá-los com muitas informações. Divida as informações em partes facilmente digeríveis. Forneça uma dica de segurança a cada dia. Coloque mensagens pela empresa, por exemplo, nos corredores ou na cozinha. Faça com que a equipe executiva discuta sobre esses tópicos nas reuniões com os funcionários. E forneça verificações de e-mails para detectar phishing e ajudar a identificar usuários que precisam de uma atenção especial.