Segurança

4 elementos essenciais de um programa anti-phishing

Para especialista, um dos principais fundamentos para prevenir o phishing é a educação dos colaboradores

14 de Junho de 2018 - 11h06

O phishing tem sido um dos grandes vilões do mundo cibernético. Segundo Relatório de Investigações de Violações de Dados da Verizon, mais de 90% dos ataques começam com um phishing.

"Não é nenhuma surpresa que os hackers usem essa abordagem - as pessoas ainda são o elo mais fraco de qualquer programa de segurança. Isso torna o phishing uma das maiores ameaças enfrentadas atualmente pelas pequenas e médias empresas", aponta Todd O'Boyle, diretor de produtos da WatchGuard Technologies.

O executivo diz que um dos principais fundamentos para prevenir o phishing é a educação dos colaboradores. "Ao capacitar a equipe em relação a diferentes tipos de ataques, ela pode se transformar de um dos elos de segurança mais fracos, em um dos maiores aliados de uma companhia. É possível fazer isso ao criar um programa abrangente de proteção contra phishing em toda a empresa."

O'Boyle listou quatro componentes essenciais de um programa de prevenção de phishing

Proteção: O ciclo começa com a proteção, pois as taxas de cliques continuam altas.É de extrema importância complementar a ligação entre proteção e educação com uma solução eficiente que forneça uma camada adicional de segurança para identificar e impedir infecções por malware. Assim, os funcionários que clicam nos e-mails de phishing são protegidos e recebem uma dose de treinamento depois da ação.

Educação: Essa proteção precisa estar em sinergia com a educação. Os usuários precisam entender quando cometeram um erro e como se manter seguros no futuro. Certifique-se de treinar seus usuários sobre os perigos de clicar em arquivos suspeitos de anexos de e-mail e hiperlinks e links da Web incorporados. Eles são muito fáceis de detectar, uma vez que a maioria tende a não ser personalizada para destinatários individuais. Os e-mails de phishing geralmente têm gramática ruim, links que não correspondem a domínios da Web com marca ou outros problemas de aumento de sinalização.

Avaliação: Os gerentes de TI precisam entender suas taxas de cliques e onde direcionar a educação. O treinamento é o primeiro passo, mas não descarta a necessidade de exercícios práticos e avaliações periódicas da equipe. Colocar e-mails de phishing para testar a sua força de trabalho demonstra e reitera a necessidade de revisão. O objetivo é mantê-los desconfiados ao interagir com anexos de arquivos ou links em emails não solicitados.

Relatório: Os participantes de um programa de treinamento se beneficiam ao falar sobre os casos que presenciam. Isso esclarece o que os atacantes estão fazendo e reforça a necessidade de estar vigilante contra esses ataques.

Além disso, certifique-se de revisar e atualizar suas políticas de segurança anti-spam e firewall. As ameaças de segurança surgem e evoluem rapidamente. É preciso estar sempre alerta e atualizado sobre os últimos vazamentos, correções e patches.