A formação em sensibilização para a segurança é um método de prevenção de ameaças cibernéticas de que as empresas de serviços financeiros podem beneficiar. Aqui, explora as principais razões para utilizar esta forma de formação se fores uma organização de serviços financeiros.

O sector dos serviços financeiros tem assistido a uma enorme transformação digital nos últimos anos. O sector está a adotar novas tecnologias para garantir melhores experiências aos clientes e otimizar as operações.

No entanto, a transformação digital fez com que o sector se tornasse também um alvo para os cibercriminosos: um inquérito de 2020 sobre cibersegurança aos CISO e CIO do sector dos serviços financeiros revelou que 65% das grandes organizações financeiras tinham sofrido um ciberataque nos 12 meses anteriores. Outro relatório, desta vez da Boston Consulting, concluiu que o sector financeiro sofreu até 300 vezes mais ataques informáticos do que outros sectores.

Formação de sensibilização para a segurança nos serviços financeiros

O pirata informático já não reside na cave dos seus pais, vestindo um capuz. Em vez disso, bandos de hackers sofisticados, com motivações financeiras, por vezes patrocinados pelo Estado, estão a tornar o cibercrime acessível a todos.

Os modelos de negócio que fornecem ferramentas de pirataria informática como um serviço estão disponíveis de forma fácil e barata na dark web. Estas ferramentas, juntamente com as capacidades de engenharia social cada vez mais aperfeiçoadas dos cibercriminosos, conduziram a um tsunami de ciberataques. Se juntarmos a esta mistura o trabalho remoto ou em casa, podemos ver que os planetas das ciberameaças estão alinhados.

A Covid-19 tem sido um abrir de olhos para as organizações de todo o mundo, uma vez que proliferaram as fraudes que tiraram partido do medo em torno da pandemia. As burlas que se centravam nos empregados utilizavam truques de phishing baseados nos temas da Covid-19 para roubar credenciais de acesso ou dados pessoais ou para levar um empregado a instalar software malicioso (incluindo ransomware). À medida que o panorama do trabalho muda, as tácticas de phishing e a engenharia social continuam a ser uma escolha fundamental dos cibercriminosos que pretendem causar danos.

Os resultados da engenharia social e do phishing são dispendiosos. Um relatório de 2021 da Sophos concluiu que as empresas de serviços financeiros de média dimensão gastam cerca de 2 milhões de dólares para recuperar de um ataque de ransomware; isto é mais do que a média global de 1,85 milhões de dólares. O relatório também destaca que 34% das organizações de serviços financeiros sofreram um ataque de ransomware em 2020.

A formação em sensibilização para a segurança é uma resposta eficaz à engenharia social utilizada pelos hackers.

Benefícios da formação de sensibilização para a segurança nos serviços financeiros

Para evitar que os cibercriminosos tirem partido dos empregados utilizando técnicas de engenharia social e phishing, as empresas podem recorrer à formação de sensibilização para a segurança. Nos serviços financeiros, existem cinco vantagens principais de participar num programa de sensibilização:

Muda o comportamento de segurança de negativo para positivo

Fraudadores, cibercriminosos, burlões, seja qual for o nome utilizado para descrever estas actividades nefastas, todos se centram no comportamento humano. A sensibilização para a segurança é utilizada para alterar o mau comportamento em matéria de segurança e criar uma abordagem positiva à segurança da empresa.

A criação de um comportamento de segurança positivo educa o pessoal sobre os perigos da engenharia social. A formação de sensibilização também explora os erros que podem levar à exposição de dados: isto é importante se tiveres em conta que as conclusões do EC-Council mostram que 64% dos eventos de perda de dados são atribuídos a pessoas internas com “boas intenções”.  

A formação de sensibilização para a segurança ensina os funcionários de toda a organização sobre a importância da segurança. Um pacote de formação eficaz educa o pessoal através de conteúdos interactivos e cativantes sobre truques e fraudes de segurança, bem como através de exercícios de simulação de phishing que ensinam os funcionários a detetar mensagens de phishing. Uma formação contínua e eficaz em sensibilização para a segurança cria um ciclo de feedback positivo, incentivando o pessoal a lidar com os ataques à segurança.

Pára os burlões BEC no seu caminho

O ransomware pode estar nas manchetes dos jornais, mas o Business Email Compromise (BEC) afecta mais empresas. O Internet Crime Complaint Center (IC3) do FBI de 2020 mostra que o BEC afecta 4 vezes mais empresas do que o ransomware. As empresas de serviços financeiros estão em risco de fraude BEC tanto quanto qualquer outra organização.

Uma exposição de 2020 do BankInfoSecurity, detalhou várias contas de fraude BEC, incluindo uma envolvendo um banco com sede nos EUA. Nesse banco, um funcionário recebeu um e-mail de fraudadores disfarçados de CEO do banco. O e-mail pedia ao funcionário que enviasse com urgência uma transferência de 1 milhão de dólares previamente agendada. A mensagem incluía uma alteração dos detalhes da conta, especificando que tal se devia “ao surto de coronavírus e aos processos e precauções de quarentena”.

As burlas BEC envolvem frequentemente uma vigilância complexa dos empregados. Os burlões chegam mesmo a estabelecer relações com operadores de help desk e outros em departamentos relevantes, para descobrir informações sobre os processos da empresa. A formação de sensibilização para a segurança ensina os empregados sobre os sinais de burlas BEC e os tipos de truques de engenharia social utilizados pelos burlões.

Ajuda a garantir a conformidade regulamentar

Os funcionários são parte integrante da manutenção da proteção e privacidade dos dados. As suas acções podem facilmente levar uma organização de serviços financeiros para a área da não-conformidade. Algo tão simples como o envio de um e-mail errado pode resultar numa multa. Um inquérito recente revelou que 58% dos empregados admitiram ter enviado uma mensagem de correio eletrónico para a pessoa errada.

A formação de sensibilização para a segurança ajuda a evitar que os funcionários cometam erros. A existência de um programa eficaz que ofereça métricas e automatização da formação também demonstra o empenho da empresa na segurança. A existência de uma formação de sensibilização para a segurança é obrigatória ou fortemente encorajada por uma série de normas e regulamentos, incluindo a ISO27001 e a PCI-DSS, que contém o seguinte no Requisito 12:

“Implementa um programa formal de sensibilização para a segurança para que todo o pessoal conheça a política e os procedimentos de segurança dos dados do titular do cartão.”

Constrói uma Firewall Humana

As medidas de segurança, como o controlo de acesso robusto, as firewalls, a proteção de terminais e a encriptação, são importantes, mas a engenharia social foi concebida para ultrapassar as soluções de segurança tradicionais. Os funcionários com conhecimentos e confiança na segurança são uma parte vital das medidas de cibersegurança de uma empresa de serviços financeiros.

Ao utilizar a formação de sensibilização para a segurança, uma empresa pode construir uma “firewall humana”. Cada membro de uma equipa em toda a organização actua para reforçar os outros membros dessa equipa. Ao realizar uma formação de segurança regular, a firewall humana torna-se mais forte e mais eficaz na deteção de truques de engenharia social.

Reforça o moral dos empregados

Um relatório da Carbonite mostra o impacto de um ataque informático nos indivíduos, com 24% dos funcionários a registarem uma queda no moral após um ataque. A confiança aumenta o moral do pessoal. A formação de sensibilização para a segurança é uma abordagem centrada nas pessoas para proteger os activos de uma organização. Ao dar aos empregados as ferramentas para ajudar a combater o cibercrime, a organização está a capacitar o seu pessoal para evitar um ataque informático. A formação de sensibilização para a segurança não só ajuda a manter a organização segura, como também contribui para o moral do pessoal.

As organizações de serviços financeiros em todo o mundo são um alvo privilegiado para os cibercriminosos e os autores de fraudes. Ter um pessoal instruído faz parte de uma visão mais ampla de 360 graus para proteger uma empresa contra os estragos destes ataques maliciosos e sinistros.

Firewall humana