*Por Todd O’Boyle
Semanalmente, nos deparamos com manchetes de um novo ataque ou de uma outra grande violação. Por exemplo, recentemente milhões de clientes nas lojas Saks e Lord & Taylor foram afetados por uma violação. Embora ainda esteja sob investigação, os relatórios iniciais apontam que é o resultado de um ataque de phishing.
Não é nenhuma surpresa que os hackers usem essa abordagem – as pessoas ainda são o elo mais fraco de qualquer programa de segurança. Isso torna o phishing uma das maiores ameaças enfrentadas atualmente pelas pequenas e médias empresas. De acordo com o Relatório de Investigações de Violações de Dados da Verizon, mais de 90% dos ataques começam com um phishing.
Um dos principais fundamentos para prevenir o phishing é a educação dos colaboradores. Ao capacitar a equipe em relação a diferentes tipos de ataques, ela pode se transformar de um dos elos de segurança mais fracos, em um dos maiores aliados de uma companhia. É possível fazer isso ao criar um programa abrangente de proteção contra phishing em toda a empresa.
Quatro componentes de um Programa de Prevenção de Phishing
Programas abrangentes de proteção contra phishing incluem quatro componentes – proteção, educação, avaliação e relatórios. Compreender o porquê e como ajuda a concentrar os seus recursos limitados de segurança no que é importante.
– Proteção: O ciclo começa com a proteção, pois as taxas de cliques continuam altas.É de extrema importância complementar a ligação entre proteção e educação com uma solução eficiente que forneça uma camada adicional de segurança para identificar e impedir infecções por malware. Assim, os funcionários que clicam nos e-mails de phishing são protegidos e recebem uma dose de treinamento depois da ação.
– Educação: Essa proteção precisa estar em sinergia com a educação. Os usuários precisam entender quando cometeram um erro e como se manter seguros no futuro. Certifique-se de treinar seus usuários sobre os perigos de clicar em arquivos suspeitos de anexos de e-mail e hiperlinks e links da Web incorporados. Eles são muito fáceis de detectar, uma vez que a maioria tende a não ser personalizada para destinatários individuais. Os e-mails de phishing geralmente têm gramática ruim, links que não correspondem a domínios da Web com marca ou outros problemas de aumento de sinalização.
– Avaliação: Os gerentes de TI precisam entender suas taxas de cliques e onde direcionar a educação. O treinamento é o primeiro passo, mas não descarta a necessidade de exercícios práticos e avaliações periódicas da equipe. Colocar e-mails de phishing para testar a sua força de trabalho demonstra e reitera a necessidade de revisão. O objetivo é mantê-los desconfiados ao interagir com anexos de arquivos ou links em emails não solicitados.
– Relatório: Os participantes de um programa de treinamento se beneficiam ao falar sobre os casos que presenciam. Isso esclarece o que os atacantes estão fazendo e reforça a necessidade de estar vigilante contra esses ataques.
Além disso, certifique-se de revisar e atualizar suas políticas de segurança anti-spam e firewall. As ameaças de segurança surgem e evoluem rapidamente. É preciso estar sempre alerta e atualizado sobre os últimos vazamentos, correções e patches.
*Todd O’Boyle é Director of Product Management da WatchGuard Technologies.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo