O documento discute como conscientizar as pessoas sobre segurança da informação, que são consideradas o elo mais fraco. Ele destaca que embora os investimentos em tecnologia de segurança tenham crescido, as perdas com fraudes não diminuíram porque as empresas escolhem investir mais em tecnologia do que em pessoas. A apresentação sugere identificar os principais temas de segurança, promover treinamentos criativos e mensurar os resultados para mudar a cultura organizacional e proteger melhor os dados.

1. COMO
CONSCIENTIZAR
O ELO MAIS
FRACO?
#SecurityWeek2016

2. OLÁ!
Sou Luiz Felipe
Ferreira.
Especialista em Segurança da
Informação. Palestrante.
Coordenador do portal SegInfo
2

3. ”
O usuário é o elo mais fraco.
3

4. 1.
PERDENDO A
GUERRA
Será que estamos fazendo o certo?
4

5. 156.000,00
Número de Phishings enviados
todos os dias.
5

6. O BRASIL FOI UNS DOS MAIORES
ALVOS DE PHISHING EM 20156

7. 3,768,520US$Custo de fraudes por Phishing em 2015
91%das empresas já sofreram algum ataque
de Phishing
80,000pessoas
São vítimas de Phishing todos os dias
7

8. 8
O PARADOXO DA
SEGURANÇA
O investimento em
Segurança da Informação
no Brasil cresceu em 2015
de 30 % a 40%.
A grande parte é gasta em
soluções tecnológicas de
proteção.

9. 9
O PARADOXO DA
SEGURANÇA
Porém, as perdas não
diminuiram, chegando a
uma estimativa de R$ 15 a
R$ 20 bilhões por ano.
O que temos feito de
errado?

10. TECNOLOGIA,
PESSOAS E
PROCESSOS.
QUAL DELES
A MAIORIA
ESCOLHE
INVESTIR
PARA A
PROTEÇÃO
DOS DADOS?
10

11. A MAIORIA
ESCOLHE
TECNOLOGIA.
MAS,
SEGURANÇA
DA
INFORMAÇÃO
É SOBRE
PESSOAS.
11

12. 12
A TECNOLOGIA AJUDA, MAS
SOZINHA NÃO RESOLVE
A indústria de Segurança da
Informação vende a ilusão
de produtos que resolverão
todos os problemas.
Falsa sensação de
segurança. Uma decepção.

13. 2.
PORQUE INVESTIR
EM PESSOAS?
Para novos resultados, novas ações.
13

14. OS CRIMINOSOS VIRTUAIS
ESTÃO NA FRENTE
▹ Pouca cultura de segurança;
▹ Leis brandas;
▹ Impunidade.
[VÍDEO] Reportagem do Fantástico
mostra que eles agem livremente e
não tem mais medo de se expor.
14

15. Internet das
Coisas
A INFORMAÇÃO ESTÁ EM
QUALQUER LUGAR
Mobilidade Computação
em Nuvem
15

16. AS PESSOAS SÃO A CHAVE
DA PROTEÇÃO
É a última camada de defesa
contra ataques;
Elas detêm as informações cruciais
para os negócios;
É mais barato investir em pessoas
do que reparar danos causados por
vazamentos de dados.
16

17. FOCO NAS
PESSOAS
70% a 80% de um programa de
conscientização também se
aplica a vida pessoal das
pessoas.
17

18. 3.
COMO
CONSCIENTIZAR?
Mudando a cultura
18

19. MOTIVAÇÃO
É o que faz as pessoas
mudarem.
19

20. 3 PASSOS PARA
CONSCIENTIZAÇÃO20
identificar
os temas
promover e
implementar
mensurar os
resultados

21. Análise interna na empresa
Quais foram os últimos ataques que
aconteceram?
Quais são os incidentes de segurança da
Informação mais comuns?
Quais informações devem ser protegidas?
IDENTIFICANDO
OS TEMAS21

22. Phishing
Talvez o ataque mais
comum e um dos mais
eficazes. Usa técnicas de
engenharia social para
ganhar a confiança da
vítima.
SUGESTÕES DE TEMAS
PARA CONSCIENTIZAÇÃO
Ransomware
O ataque do momento.
Sequestra as
informações da vítima
criptografando-as e
exigindo pagamento
para desbloqueio.
22

23. Senhas
Segundo uma pesquisa
recente, 123456 ainda é
a senha mais usada no
mundo. Portanto, esse
tema ainda deve ser
trabalhado.
SUGESTÕES DE TEMAS
PARA CONSCIENTIZAÇÃO
Redes Sociais
Vazamento de dados e
exposição de pessoas e
empresas tem causado
prejuízos financeiros e
de imagem.
23

24. PROMOVENDO E
IMPLEMENTANDO
A conscientização da
Segurança da Informação
deve ser constante, mas
não ao ponto de ser chata.
Portanto, é recomendável a
uma ação nova a cada mês.
24

25. CRIE PARCERIAS COM
ÁREAS QUE PODEM AJUDAR
RH
Para ajudar no
planejamento e
engajamento das
pessoas nos
treinamentos.
Marketing
Para ajudar a
transmitir a
mensagem de
forma criativa e
clara, sem
“techniquês”.
Negócio
Para ajudar na
identificação dos
temas e
informações que
necessitam de
proteção.
25

26. COMO TRANSMITIR A
MENSAGEM?
Palestras, pôsteres,
cartazes, vídeos, brindes,
papel de parede, peças
teatrais, jogos e outros
recursos, tudo adequado a
cultura da empresa.
Exerça sua criatividade!
26

27. CBT (COMPUTER BASED
TRAINING)
Plataformas que promovem
a conscientização por
campanhas, jogos e outros
recursos para treinamento
em computadores.
Já existem empresas que
ofertam no Brasil.
27

28. ORÇAMENTO
CURTO?
O GoPhish é uma
plataforma em código
aberto para criação de
campanhas de
conscientização.
GRATUITO.
www.gophish.com
28

29. COMO MEDIR
OS
RESULTADOS
?
29

30. EXEMPLOS DE
MÉTRICAS
Número de pessoas que
participaram dos treinamentos;
Dados mensais de incidentes
reportados;
Dados mensais de vítimas do
phishing;
30

31. MATERIAL
ADICIONAL
MICROSOFT
Material para programa de
conscientização de segurança
(link)
SANS
Security Awareness Roadmap
(link)
NIST
Special Publication 800-50 -
"Building an Information
Technology Security Awareness
and Training” (link)
PCI-DSS
Best Practices for Implementing a
Security Awareness Program (link)
SANS
Critical Security Controls Poster -
2016 (link)
Sophos
IT Security DOs and DON'Ts Free
Toolkit (link)
31

32. DÊ O
PRIMEIRO
PASSO.
VOCÊ VAI
CONSEGUIR!
VALE A PENA
INVESTIR
NAS
PESSOAS!
32

33. ”
O usuário é o elo mais fraco importante.
33

34. OBRIGADO!
Palestras? Ajuda?
Entre em contato!
▹ www.luizfelipeferreira.com
▹ contato@luizfelipeferreira.com
▹ /lfferreiras
▹ /luizfelipeferreiras
▹ /in/luizfelipeferreira
34

35. CRÉDITOS
▹ Slides: 5, 6, 7.1, 7.2, 7.3, 14
▹ Vídeo por GloboPlay (link)
▹ Template por SlidesCarnival
▹ Fotos por Pixabay (licença)
Obrigado SecurityWeek.
Até a próxima!
35