No ano passado, 30 mil funcionários da JBS receberam um e-mail com a informação de que o jogador de futebol Neymar havia saído do time espanhol Barcelona. Quando clicaram no link que levaria à notícia, foram avisados de que haviam acessado um site indevido que poderia infectar o computador e até a rede da empresa. Em seguida, foram convidados a fazer um treinamento explicando os perigos de abrir arquivos ou links de origem desconhecida e os cuidados necessários para não correr esse risco.
O envio do e-mail foi organizado pelo próprio departamento de tecnologia da informação da JBS, com a ajuda de uma ferramenta para treinar funcionários que simula um e-mail de phishing para que entendam na prática como funcionam ataques virtuais e aprendam a evitá-los.
A técnica é uma das medidas adotadas por empresas atualmente para se proteger do crescente perigo apresentado por criminosos virtuais, que cada vez mais usam os funcionários como porta de entrada para ataques que podem acarretar grandes perdas financeiras.
Uma pesquisa recente da PwC apontou que o número de ataques virtuais registrados por empresas brasileiras pulou de 2,3 mil para quase 8,7 mil entre 2014 e 2015. Nesse período, o valor médio das perdas financeiras relacionadas a esse tipo de problema foi de US$ 2,4 milhões. Na percepção dos cerca de 600 executivos brasileiros entrevistados, a maior parte dos incidentes tem como provável origem os próprios funcionários da empresa (41%), número acima da média global (34%).
O “chief information officer” (CIO) da JBS, João Pilla, explica que a empresa possui uma postura conservadora quando o assunto é segurança da informação. Dispositivos particulares como celulares, tablets ou notebooks não podem ser usados para fins de trabalho, e os cerca de oito mil funcionários que precisam dessas ferramentas recebem aparelhos da empresa. Os empregados também assinam um termo de responsabilidade detalhando os limites e deveres como usuários de e-mail e da rede corporativa.
Além do investimento em ferramentas de monitoramento e proteção dos computadores, o departamento de TI produz vídeos semestralmente sobre o assunto. Ainda assim, Pilla, que está na área de tecnologia há 25 anos, diz que o controle da segurança da informação é hoje muito mais complexo em razão do avanço tecnológico e da divisão cada vez mais tênue entre uso pessoal e profissional dessas ferramentas.
“Na segurança da informação, é fundamental ficar o tempo todo batendo na mesma tecla, ou as pessoas esquecem.”
O treinamento de simulação foi uma alternativa que também permitiu à empresa medir o nível de conhecimento dos usuários.
A adoção, no ano passado, também resultou em redução de custos, pois substituiu um treinamento presencial sobre o assunto. Na primeira vez que a mensagem foi enviada, 10% dos 30 mil funcionários clicaram no link “malicioso”, e metade fez o treinamento. Na segunda simulação – a protagonizada por Neymar – 20% menos pessoas clicaram. “Nossa meta é que esse número não ultrapasse 5%”, diz Pilla.
Neste ano, o CIO pretende realizar o treinamento com mais frequência, com e-mails de temas variados – afinal, o hacker que quiser fisgar a atenção de alguém o fará com um assunto interessante. “As pessoas precisam perceber que a empresa está cuidando disso, para que elas façam a mesma coisa”, diz.
Para especialistas, toda a companhia deve ser responsável pelos riscos à segurança e não apenas o departamento de TI.
Pedro Ivo Lima, CEO da PhishX, empresa que oferece treinamentos de simulação como o realizado na JBS, explica que a intenção é educar o funcionário pela força do hábito, condicionando-o a identificar mensagens perigosas.
Os exemplos são, geralmente, escolhidos pelas próprias empresas. Algumas enviam e-mails que simulam comunicados internos, mas com textos absurdos ou repletos de erros – para comprovar a ideia, segundo Lima, de que muitos nem sempre leem uma mensagem antes de clicar em algo. “As pessoas têm padrões comportamentais. Em relação à tecnologia, todo mundo quer ser rápido”, diz.
No ano passado, a empresa realizou dois milhões de simulações. Em média, 35% dos usuários que recebem o e-mail “caem” na mensagem. Em um primeiro teste, nenhuma companhia registrou menos de 10% de acesso. “A partir do quarto teste, a tendência é ficar entre 10% e 20%. Nunca aconteceu 0%, nem vai acontecer”, enfatiza.
Após um funcionário clicar em um arquivo malicioso, esse “malware” pode infectar não só o computador dele, mas toda a rede da empresa. Os tipos de crime que resultam de falhas nesse processo variam de extorsão a roubo de informações privilegiadas como senhas, dados financeiros, ou detalhes sobre produtos, que podem ser vendidos para concorrentes.
Recentemente, o site de namoro Ashley Madison teve informações vazadas, revelando dados sigilosos de usuários que buscavam privacidade. Na semana passada, o aplicativo Snapchat teve dados sobre salários roubados após um hacker simular um e-mail do CEO da empresa pedindo as informações a um funcionário do departamento de pessoas. No caso de instituições financeiras, ter acesso à rede pode permitir aos hackers realizarem transações falsas.
No Santander, um treinamento online específico sobre segurança da informação está entre os obrigatórios para todos os funcionários do banco, e apresenta potenciais problemas e exemplos do que fazer, passando por passos básicos como a necessidade de bloquear o computador antes de deixar a mesa.
“É importante trazer para o dia a dia, para a pessoa entender o que isso significa no trabalho dela”, diz a vice-presidente de recursos humanos, Vanessa Lobato. O treinamento é atualizado e deve ser refeito todos os anos. O banco também promove uma semana de risco, que engloba esse assunto.
Na opinião de Claudio Martinelli, diretor geral da empresa de segurança da informação russa Kaspersky Lab no Brasil, está cada vez mais complicado proteger informações dentro de empresas. Parte do risco vem da prática de funcionários usarem dispositivos pessoais para o trabalho, a chamada “Bring Your Own Device“, considerada por Martinelli uma tendência sem volta.
Para a sócia da área de propriedade intelectual e tecnologia da informação do escritório de advocacia Trench, Rossi e Watanabe, Flavia Rebello, nesses casos é importante que a empresa tenha uma política específica para a situação.
É isso que vai definir, por exemplo, a possibilidade de monitorar programas de uso profissional instalados em um aparelho pessoal, como seria feito com um aparelho corporativo. A proibição do uso de aplicativos como WhatsApp, Skype ou Dropbox para trocar informações confidenciais também deve ser explícita.
“A recomendação é que se restrinja a transferência de documentos da empresa só a redes protegidas. Essas políticas ajudam a criar a consciência de que nem toda forma de comunicação é apropriada”, diz.
De acordo com Martinelli, os criminosos estão cada vez mais sofisticados ao tentar atacar empresas. Antes, e-mails de “phishing” chegavam apenas de forma massificada – por exemplo, quando hackers enviam mensagens falsas de um banco a um grande número de pessoas, na esperança de chegar a clientes daquele banco e eles caírem.
Agora, com o uso de engenharia social, essas mensagens são mais personalizadas. Um golpe comum nos últimos meses, descoberto pela Kaspersky, é o envio de arquivos maliciosos para profissionais do departamento de RH em e-mails que supostamente contêm currículos anexados.
Por esses motivos, a conscientização dos funcionários se torna cada vez mais essencial como parte da estratégia das empresas. “A segurança da informação tem três pilares: serviços como antivírus, políticas de segurança como limitar acesso de funcionários a um determinado tipo de site, e a educação, que é o mais fundamental de todos. Sem ele, os outros dois ficam bambos”, diz Martinelli.