Preocupada com as boas práticas de segurança e de tecnologia da informação (TI), a Companhia de Saneamento Ambiental do Distrito Federal (Caesb) desenvolveu uma ação educativa voltada para seus empregados com o objetivo de conscientizar e fortalecer a cultura de prevenção a fraudes e vazamento de dados.
Os 152 usuários que clicaram no link fornecido no corpo do e-mail, permitindo o acesso às suas credenciais, foram redirecionados para um treinamento que destaca os pontos de atenção que se deve ter ao receber e-mails suspeitos
A equipe de segurança de TI enviou aos empregados um e-mail phishing – um tipo de ataque de engenharia social – que falava sobre assuntos de interesse dos empregados. O e-mail possuía vários pontos que indicavam se tratar de uma mensagem falsa e que, portanto, deveriam ser observados pelos usuários dados como endereço do remetente incorreto, nome da área de RH que não existia e erros de português, entre outros.
Os 152 usuários que clicaram no link fornecido no corpo do e-mail, permitindo o acesso às suas credenciais, foram redirecionados para um treinamento onde foram destacados os pontos de atenção que todo mundo deve ter ao receber e-mails suspeitos, além de reforçar os cuidados com a segurança da informação.
Antes de disparar o e-mail phishing, a Assessoria de Tecnologia da Informação e Telecomunicações (PRT) promoveu a Semana de Conscientização de Segurança da Informação. Durante esse período, foram enviados diariamente alertas e orientações de prevenção de riscos de segurança da informação com o intuito de conscientizar os empregados, colaboradores e estagiários da Caesb.
“A ação foi para alertar os empregados de que, apesar de a Caesb ter diversas ferramentas para coibir ações de hackers, o usuário faz parte da engrenagem de segurança”Luiz Marcelo Serique, gerente de Infraestrutura de Tecnologia e Telecomunicações da Caesb
Além do e-mail phishing, como ação preventiva, foi executada uma simulação de ataque no Microsoft Defender que permite realizar simulações de ataques cibernéticos benignos na organização. Essas simulações testam as políticas e práticas de segurança, além de treinar os funcionários para aumentar sua conscientização e diminuir a suscetibilidade a ataques.
O gerente de Infraestrutura de Tecnologia e Telecomunicações da Caesb, Luiz Marcelo Serique, explica que essas ações de segurança seguem orientações de boas práticas de governança de TI e diretrizes da Política de Segurança da Informação da Caesb.
Elas ocorrerão periodicamente, sem prévio aviso, seguindo um plano de ação da equipe de segurança de TI, permitindo acompanhar a evolução da conscientização dos empregados quanto a este tema. “A ação foi para alertar os empregados de que, apesar de a Caesb ter diversas ferramentas para coibir ações de hackers, o usuário faz parte da engrenagem de segurança”, destaca Serique.
Em 2013, a Caesb começou a elaborar uma política de segurança da informação e criou um comitê para analisar normas, boas práticas e identificar padrões de referência sobre o tema. O gerente de Produtos e Serviços de TI da Caesb, Uanderson de Oliveira, esclarece que, graças a essa política, a companhia implementou diversas melhorias em seus processos e na infraestrutura de TI, como a construção de dois centros de dados e o desenvolvimento de sistemas de segurança para controlar o acesso aos sistemas corporativos.
“A segurança da informação é obtida por meio da implementação de controles, de processos e de políticas que fortaleçam o negócio, da minimização dos riscos e, consequentemente, da promoção da segurança da empresa. Entre as metodologias que avaliamos, resolvemos adotar como referência as publicações do National Institute of Standards and Technology – NIST 800-37 e 800-53, metodologias americanas reconhecidas por serem abrangentes e flexíveis para o gerenciamento de riscos cibernéticos”, afirma Uanderson de Oliveira.
*Com informações da Caesb