0
0
Seu chefe pode respeitar os limites da vida profissional, mas os cibercriminosos não. Atores mal-intencionados estão cada vez mais visando funcionários em golpes de engenharia social que se originam em suas redes pessoais, com o objetivo final de comprometer o local de trabalho. Este ano, os diretores de segurança da informação (CISOs) devem se concentrar em como podem defender e proteger os funcionários além dos muros dos sistemas corporativos.
Grandes empresas de tecnologia de alto perfil são as mais recentes em uma longa linha de organizações que foram vítimas de ataques de engenharia social . Em 2023, certamente haverá mais. A engenharia social será a principal causa raiz dos principais ataques cibernéticos no futuro previsível, por dois motivos: eles são baratos de executar e realmente funcionam. Quando um caminho — como e-mail corporativo — se torna mais difícil, os invasores mudam para outros métodos de comunicação, incluindo plataformas pessoais dos funcionários, como mensagens de texto, mídia social ou perfis do LinkedIn. Na verdade, de acordo com dados recentes da Tessian , 56% dos funcionários disseram ter recebido um golpe de mensagem de texto no ano passado.
Está claro que a segurança precisa se estender além dos muros corporativos, mas há um equilíbrio importante que os líderes de segurança devem atingir para respeitar os limites das contas e dispositivos pessoais dos funcionários. Aqui está o que deve ser lembrado ao criar uma estratégia para cobrir riscos fora do alcance da equipe de segurança.
Ataques de engenharia social foram transferidos para canais pessoais
Embora o e-mail corporativo tenha sido historicamente o principal canal para golpes de engenharia social, uma combinação de ferramentas de segurança cibernética, estratégias e treinamento de conscientização tornou mais difícil a invasão dos invasores. Como resultado, os invasores estão migrando para canais pessoais que não são tão bem protegidos.
Na grande violação do Twilio no verão passado, os invasores visaram os funcionários por meio de seus números de telefone pessoais e enviaram mensagens de texto se passando pelo departamento de TI do Twilio, em vez do método tradicional de enviar mensagens para um endereço de e-mail corporativo. As mensagens de texto instruíam os funcionários a fazer login em um site fraudulento da Twilio, que os invasores usaram para coletar as credenciais dos funcionários e violar os sistemas internos da empresa. A segmentação de dispositivos pessoais pode ser especialmente eficaz, porque as pessoas tendem a fornecer seus números de telefone com menos frequência do que seus endereços de e-mail, portanto, há um nível mais alto de confiança ao receber uma mensagem de texto que se faz passar por um empregador.
Como proteger os funcionários fora do local de trabalho
Envergonhar os erros de segurança e assumir a culpa e a punição dos relatórios de incidentes pode fortalecer os esforços de segurança dentro e fora do local de trabalho. Os líderes devem criar uma cultura de segurança em que os funcionários sejam incentivados a sinalizar erros e atividades suspeitas, mesmo que uma conta pessoal seja violada em um computador da empresa.
É difícil para muitos funcionários encontrar e acessar etapas simples e acionáveis para melhorar a segurança das informações pessoais. Há uma grande oportunidade para as equipes de segurança fornecerem recursos selecionados para ajudar os funcionários, inclusive armando-os com recursos para ajudar seus amigos e familiares também.
Por exemplo, alguns fornecedores de segurança corporativa, incluindo vários gerenciadores de senhas, fornecem aos funcionários versões pessoais gratuitas de suas ferramentas como parte de seus negócios B2B. Outra tática é desenvolver uma lista interna de recursos disponíveis aos funcionários para ajudar a protegê-los em suas vidas pessoais. Isso pode ser bastante eficiente para melhorar a segurança geral da força de trabalho.
Como respeitar os limites pessoais dos funcionários
A confiança é uma parte crucial da segurança. As equipes de TI e segurança devem respeitar os limites quando se trata de contas e dispositivos pessoais dos funcionários.
Ser previsível e transparente é fundamental para criar confiança e aumentar o envolvimento com os funcionários. Ter processos de suporte de segurança bem definidos, incluindo exemplos, pode ajudar os funcionários a saber exatamente o que acontecerá quando procurarem suporte no trabalho ou fora do local de trabalho. Por exemplo, se um funcionário precisar de ajuda com e-mails de phishing direcionados em seu e-mail pessoal, saber com antecedência que a equipe de segurança não solicitará acesso remoto a seus dispositivos pessoais pode aumentar sua confiança ao pedir ajuda.
Uma estratégia que funcionou muito bem para minhas equipes é manter uma “página de transparência” que forneça informações de alto nível sobre práticas de segurança interna, como registro e monitoramento em laptops e outros sistemas corporativos. Dessa forma, os funcionários não são surpreendidos e podem fazer escolhas informadas e seguras sobre dados pessoais e uso (dentro da política de uso aceitável, é claro).
Os invasores continuarão a desenvolver suas estratégias de engenharia social e cruzarão todos os limites necessários para executar uma violação com sucesso. Mesmo quando os sistemas e dispositivos corporativos não são a fonte inicial de um ataque, essas táticas podem comprometer os sistemas, credenciais e dados da empresa. As equipes de segurança devem continuar a desenvolver suas estratégias e expandir seu alcance, respeitando a privacidade pessoal dos funcionários e mantendo a confiança crucial.
FONTE: DARK READING