Programa completo de educação para o usuário final é arma necessária na batalha para proteção de dados

AutorRoger A. Grimes, CSO/USA

Todo profissional de segurança de TI está ciente de que um programa completo de educação do usuário final é uma arma necessária na batalha para proteger o perímetro. Um bom programa de educação treina seus humanos vulneráveis para entender como ajudar a defender seu sistema contra ataques. A educação ajuda as pessoas a desenvolver hábitos saudáveis, afia sua defesa contra a engenharia social e as torna uma aliada na luta – em vez de uma brecha em suas defesas.

 

Você sabe que a educação de segurança é essencial. O que é um bom programa de educação em segurança? Quão bom é o seu? Já perdeu algum dado importante?

A seguir, conheça dez tópicos que todo programa de treinamento em segurança de computadores deve ter.

 

1. Uso aceitável

A maioria das pessoas não fica acordada à noite pensando na maneira certa e errada de usar aquele laptop cedido pelo seu empregador. Elas os usam porque eles os têm disponíveis. É por isso que você precisa especificar o que é e o que não é um uso aceitável desse dispositivo comercial.

Assentar todos os funcionários e insistir que leiam e assinem uma política de uso aceitável todos os anos é uma ótima maneira de educá-los. E tratar o assunto com suporte legal, caso o funcionário viole as regras. Os funcionários devem concordar com sua política de uso aceitável antes de a empresa disponibilizar a ele o dispositivo para uso comercial.

 

Declarações comuns de uso aceitável incluem:

• Dispositivos de negócios são de propriedade exclusiva da empresa, que pode atribuir, remover e determinar o controle sobre esses dispositivos

• Não há expectativa de privacidade ao usar um dispositivo de propriedade da empresa. A empresa pode ler e-mails de funcionários ou outras comunicações a seu próprio critério, sem aviso prévio.

• Atividades ilegais ou antiéticas não são permitidas em dispositivos comerciais.

• Qualquer senha criada pelo usuário pode ser desabilitada ou redefinida pela empresa sem aviso prévio.

• O uso pessoal é permitido desde que não seja excessivo (conforme determinado pela empresa) e não viole uma das diretrizes anteriores.

• O não cumprimento deste contrato de uso aceitável pode resultar em ações adversas, incluindo a remoção do mesmo dispositivo da empresa e até a rescisão

 

2. Consciência de patch

Software requer atualizações frequentes. Sem isso, qualquer máquina pode se tornar um ponto de acesso perigoso para malware e outras violações.

 

O software sem correção é uma das principais razões pelas quais as empresas ficam comprometidas. Isso é de conhecimento comum entre os profissionais de segurança. Mas para o usuário médio, a instalação de patches é uma tarefa irritante que rapidamente cai no fundo de uma lista de tarefas lotada. Por esse motivo, a educação para conscientização sobre patches é essencial em qualquer programa de treinamento.

Deve esclarecer a natureza essencial dos patches, sufocar quaisquer medos ou mitos em torno do incômodo e inconvenientes de instalá-los e detalhar o que a empresa espera em relação à instalação de patches. Quem faz isso?

 

Quantas vezes é feito? O que os usuários não devem fazer? Também deve detalhar os sistemas que você tem para ver que essa tarefa necessária não é esquecida.

Suas diretrizes de gerenciamento de patches por escrito podem incluir detalhes como estes:

• Todos os patches de segurança críticos devem ser aplicados no prazo de uma semana após o lançamento

• O usuário pode ser solicitado a reinicializar seu computador após a aplicação do patch

• Os patches ausentes são verificados diariamente e podem ser aplicados sem aviso prévio

• Não aplique nenhum patch ou atualização iniciado a partir de uma sessão do navegador

• Se você suspeitar que um patch está faltando ou não foi aplicado em tempo hábil, informe

• Se um patch causar problemas, informe imediatamente

 

3. Consciência de engenharia social

A maioria das violações de dados começa com um ataque bem-sucedido de engenharia social. É quando o hacker alveja um ser humano para fazê-lo praticar algo que dê ao hacker o acesso à rede que ele está procurando. Em suma, é um jogo de trapaça.

A engenharia social não envolve necessariamente uma operação elaborada, nem mesmo contato direto com a vítima. Isso pode ser feito por e-mail, por meio de um site, por telefone e SMS. Seu programa de treinamento deve cobrir as muitas maneiras pelas quais os humanos são enganados.

O treinamento de pessoal para evitar a engenharia social deve acontecer com mais frequência do que anualmente e deve incluir:

• Como reconhecer engenharia social

• Exemplos concretos de truques comuns de engenharia social

• Testes que simulam engenharia social

• Estratégias para incentivar as vítimas de engenharia social a denunciar imediatamente o abuso sem medo de repercussões

 

4. Práticas recomendadas de senha

Embora grande parte do mundo esteja migrando para a autenticação multifator (MFA) o mais rápido possível, as senhas continuam sendo o único método de autenticação para muitos sites e serviços da web. Um sistema requer que os usuários finais saibam como criar, lembrar e usar senhas para que protejam os dados por trás deles sem violar a segurança ou gerar frustração desnecessária.

Seu treinamento de práticas recomendadas de senha deve incluir:

• Use autenticação de dois fatores (2FA) e autenticação de múltiplos fatores (MFA), sempre que possível

• As senhas devem ter oito caracteres ou mais

• As senhas não devem ser tão comuns que possam ser violadas em um instante. Por exemplo, não use palavras como “senha” ou “qwerty”

• Use senhas exclusivas para todos os sites e serviços. Não compartilhe entre sites

• Crie e use com cuidado as “perguntas de redefinição” de senha para garantir que elas não contenham respostas fáceis de encontrar (como o nome de solteira de sua mãe)

 

5. Manipulando e-mail

A maior parte dos incidentes começa com um e-mail não solicitado que contém um anexo de arquivo ou um link mal-intencionado, solicitando que o destinatário clique ou abra. Se sua equipe é bem versada em como lidar apropriadamente com os perigos inevitáveis de e-mail sem expor a empresa a riscos, o e-mail não será sua ruína. Por esse motivo, o treinamento por e-mail para todos que usam um computador da empresa ou seus servidores deve ser parte essencial de qualquer plano de educação do usuário final.

As práticas recomendadas de tratamento de email devem incluir:

• Treine as pessoas para serem sempre um pouco céticas em relação a qualquer e-mail inesperado

• Ensine a todos que não cliquem em um anexo de arquivo que você não esperava. Ligue para o remetente primeiro para confirmar sua origem

• Nunca clique em nenhum link da internet inesperado sem verificar se o domínio da URL é legítimo

• Não ative o “conteúdo ativo” em e-mails de fontes não confiáveis

• Relatar e-mails suspeitos para segurança de TI

• Nunca clique em “Responder a todos” em grandes postagens de e-mail

6. Uso seguro do navegador

Usar um navegador para navegar na internet é uma atividade de alto risco. Todos na sua empresa devem ser ensinados a navegar de maneira inteligente e segura, sem a execução de arquivos ou conteúdo mal-intencionados.

As práticas recomendadas de navegação na internet devem incluir:

• Instrução sobre como garantir que seu navegador seja totalmente corrigido contra vulnerabilidades críticas de segurança

• Avisos contra a instalação de complementos desnecessários sem a aprovação do administrador

• Adverte contra navegar na internet usando uma conta altamente privilegiada (por exemplo, o administrador)

• Avisos para não executar executáveis inesperados apresentados em um navegador

• Treinamento em como verificar a legitimidade dos domínios de URL

• Diretrizes sobre o que fazer quando encontrar instruções online que dizem para evitar – ou como contornar – avisos de segurança

7. Proteção de dados

A importância da proteção de dados entrou em foco com as novas leis e regulamentos de privacidade e proteção de dados, como o GDPR da Europa e o CCPA (Consumer Privacy Act) da Califórnia. Além de garantir que os dados coletados sejam necessários, coletados e usados legalmente, o treinamento de proteção de dados também deve abordar esses tópicos importantes:

• Uma definição de que tipo de informação precisa ser protegida, com exemplos

• Como descartar os dados quando não forem mais necessários

• A necessidade de criptografar todos os dados confidenciais quando está em repouso e durante as comunicações da rede

• A necessidade de rotular os dados de acordo com sua sensibilidade ou criticidade (por exemplo, secreto, confidencial, público etc)

• Protocolos e documentação necessária para compartilhar dados

• A importância de fazer backup de dados críticos – criptografados e protegidos por senha – em dois ou mais lugares

• Incentive os funcionários a discutir essas questões com o responsável pela proteção de dados sempre que houver alguma dúvida

 

8. Bloqueio de tela

A menos que sejam instruídos a perceber os riscos, a maioria dos usuários de computadores nunca pensaria em bloquear a tela do computador antes de sair dele ou de um dispositivo. Mas deixar um computador disponível para qualquer pessoa pode causar danos à sua identidade ou à empresa. Na extremidade inferior do risco, um colega de trabalho travesso pode enviar e-mail de brincadeira em seu nome. Mas coisas piores acontecem. Computadores e dispositivos desbloqueados acabam causando sérios danos à reputação das empresas e usuários involuntários.

Todos os usuários precisam aprender a bloquear a tela do dispositivo quando não estão por perto ou no controle imediato do dispositivo.

As melhores práticas de bloqueio de tela incluem:

• Os usuários devem SEMPRE bloquear o dispositivo ao sair de perto dele

• Os usuários devem ser obrigados a autenticar para desbloquear o dispositivo

• Um dispositivo inativo deve sempre se bloquear após 10 minutos

• Um dispositivo bloqueado nunca deve revelar seu conteúdo.

 

9. Treinamento direcionado

Tipos específicos de usuários precisam de treinamento para neutralizar o spear phishing. O departamento de contabilidade, por exemplo, precisa entender por que eles são um alvo em potencial. O CEO e outras pessoas com acesso privilegiado também precisam entender esse tipo de engenharia social direcionada.

E isso não pode ser uma sessão de treinamento geral para cobrir todo o spear phishing. Porque se os detalhes da situação parecerem irrelevantes, os seus formandos provavelmente acabarão com isso. Os spear phishers desejam usar os detalhes pessoais e as tarefas do projeto em andamento para fazer a vítima abrir e-mails maliciosos e executar anexos suspeitos. Revide. Use os mesmos detalhes que um spear phisher usaria para obter uma vítima para criar seu programa de treinamento.

Treinamento direcionado inclui:

• Fraude de transferência financeira para funcionários capazes de transferir dinheiro

• O ceticismo necessário quando confrontado com pedidos de CEO de “emergência” para funcionários que atendem ao CEO

• Treinamento contra redefinições de senha fraudulentas para funcionários que podem redefinir senhas

• Treinamento contra credenciais de reinserção inesperadas após a leitura do email

• Treinamento sazonal para diferentes épocas do ano, como W-2 ou fraude fiscal perto da época de impostos

 

10. Relatando incidentes

O tempo médio que uma empresa leva para descobrir um evento de invasão mal-intencionado é de oito meses e, mesmo assim, muitas vezes é descoberto por alguém de fora da empresa da vítima. Infelizmente, em geral o incidente de segurança é notado por alguém dentro da empresa muito tempo antes que a equipe oficial de resposta a incidentes tome ciência. O mantra “Se você vê algo, diz algo” se aplica tanto no mundo digital quanto no mundo real.

Todos os funcionários precisam ser informados sobre como reconhecer e relatar incidentes de segurança. Você quer criar uma cultura em que as pessoas não tenham medo de denunciar algo que não parece certo. Eles precisam ser encorajados a relatar todos os eventos suspeitos sem medo ou repercussões.

Recomendações comuns de relatórios de incidentes incluem:

• Alguns exemplos memoráveis de incidentes de segurança comuns

• Quem você chama se vir algo suspeito?

• Diretrizes sobre como relatar um incidente de segurança

• O que as pessoas devem esperar depois de fazer um relatório

• Muito incentivo amigável para persuadir as pessoas a relatarem proativamente os incidentes de segurança

• O que fazer com um computador ou dispositivo que um funcionário acredita ter sido comprometido. Desligue-o? Traz para o departamento de TI?

Fonte: Security Report