O documento discute como conscientizar as pessoas sobre segurança da informação, que são consideradas o elo mais fraco. Ele destaca que embora os investimentos em tecnologia de segurança tenham crescido, as perdas com fraudes não diminuíram porque as empresas escolhem investir mais em tecnologia do que em pessoas. A apresentação sugere identificar os principais temas de segurança, promover treinamentos criativos e mensurar os resultados para mudar a cultura organizacional e proteger melhor os dados.
6. O BRASIL FOI UNS DOS MAIORES
ALVOS DE PHISHING EM 20156
7. 3,768,520US$Custo de fraudes por Phishing em 2015
91%das empresas já sofreram algum ataque
de Phishing
80,000pessoas
São vítimas de Phishing todos os dias
7
8. 8
O PARADOXO DA
SEGURANÇA
O investimento em
Segurança da Informação
no Brasil cresceu em 2015
de 30 % a 40%.
A grande parte é gasta em
soluções tecnológicas de
proteção.
9. 9
O PARADOXO DA
SEGURANÇA
Porém, as perdas não
diminuiram, chegando a
uma estimativa de R$ 15 a
R$ 20 bilhões por ano.
O que temos feito de
errado?
12. 12
A TECNOLOGIA AJUDA, MAS
SOZINHA NÃO RESOLVE
A indústria de Segurança da
Informação vende a ilusão
de produtos que resolverão
todos os problemas.
Falsa sensação de
segurança. Uma decepção.
14. OS CRIMINOSOS VIRTUAIS
ESTÃO NA FRENTE
▹ Pouca cultura de segurança;
▹ Leis brandas;
▹ Impunidade.
[VÍDEO] Reportagem do Fantástico
mostra que eles agem livremente e
não tem mais medo de se expor.
14
16. AS PESSOAS SÃO A CHAVE
DA PROTEÇÃO
É a última camada de defesa
contra ataques;
Elas detêm as informações cruciais
para os negócios;
É mais barato investir em pessoas
do que reparar danos causados por
vazamentos de dados.
16
17. FOCO NAS
PESSOAS
70% a 80% de um programa de
conscientização também se
aplica a vida pessoal das
pessoas.
17
21. Análise interna na empresa
Quais foram os últimos ataques que
aconteceram?
Quais são os incidentes de segurança da
Informação mais comuns?
Quais informações devem ser protegidas?
IDENTIFICANDO
OS TEMAS21
22. Phishing
Talvez o ataque mais
comum e um dos mais
eficazes. Usa técnicas de
engenharia social para
ganhar a confiança da
vítima.
SUGESTÕES DE TEMAS
PARA CONSCIENTIZAÇÃO
Ransomware
O ataque do momento.
Sequestra as
informações da vítima
criptografando-as e
exigindo pagamento
para desbloqueio.
22
23. Senhas
Segundo uma pesquisa
recente, 123456 ainda é
a senha mais usada no
mundo. Portanto, esse
tema ainda deve ser
trabalhado.
SUGESTÕES DE TEMAS
PARA CONSCIENTIZAÇÃO
Redes Sociais
Vazamento de dados e
exposição de pessoas e
empresas tem causado
prejuízos financeiros e
de imagem.
23
24. PROMOVENDO E
IMPLEMENTANDO
A conscientização da
Segurança da Informação
deve ser constante, mas
não ao ponto de ser chata.
Portanto, é recomendável a
uma ação nova a cada mês.
24
25. CRIE PARCERIAS COM
ÁREAS QUE PODEM AJUDAR
RH
Para ajudar no
planejamento e
engajamento das
pessoas nos
treinamentos.
Marketing
Para ajudar a
transmitir a
mensagem de
forma criativa e
clara, sem
“techniquês”.
Negócio
Para ajudar na
identificação dos
temas e
informações que
necessitam de
proteção.
25
26. COMO TRANSMITIR A
MENSAGEM?
Palestras, pôsteres,
cartazes, vídeos, brindes,
papel de parede, peças
teatrais, jogos e outros
recursos, tudo adequado a
cultura da empresa.
Exerça sua criatividade!
26
27. CBT (COMPUTER BASED
TRAINING)
Plataformas que promovem
a conscientização por
campanhas, jogos e outros
recursos para treinamento
em computadores.
Já existem empresas que
ofertam no Brasil.
27
28. ORÇAMENTO
CURTO?
O GoPhish é uma
plataforma em código
aberto para criação de
campanhas de
conscientização.
GRATUITO.
www.gophish.com
28
30. EXEMPLOS DE
MÉTRICAS
Número de pessoas que
participaram dos treinamentos;
Dados mensais de incidentes
reportados;
Dados mensais de vítimas do
phishing;
30
31. MATERIAL
ADICIONAL
MICROSOFT
Material para programa de
conscientização de segurança
(link)
SANS
Security Awareness Roadmap
(link)
NIST
Special Publication 800-50 -
"Building an Information
Technology Security Awareness
and Training” (link)
PCI-DSS
Best Practices for Implementing a
Security Awareness Program (link)
SANS
Critical Security Controls Poster -
2016 (link)
Sophos
IT Security DOs and DON'Ts Free
Toolkit (link)
31