Durante a pandemia, os brasileiros foram os principais alvos de phishing no mundo.
De acordo com os dados, um a cada oito usuários de internet no país acessaram entre abril e junho de 2020 ao menos um link que direcionava a páginas maliciosas.
Bem, isso se tornou uma preocupação imensa para as empresas, em especial pela ascensão do home office.
Nessa realidade, os colaboradores tornaram os sistemas e dados das organizações mais vulneráveis e com riscos de ataques cibernéticos.
Diante disso, as equipes de TI dedicam esforços para treinar melhor os funcionários para não cair nas armadilhas.
Entretanto, muitas vezes o departamento se depara com tentativas falhas e baixos rendimentos com os treinamentos comuns, visto que os erros se repetem.
Por isso, existem empresas que optam por realizar táticas de choque, através de falsos-ataques.
Mas será que essa é a melhor alternativa para a sua empresa?
Continue a leitura e compreenda melhor sobre os impactos dos falsos-ataques na cultura da sua organização.
Falsos-ataques: O caso GoDaddy
A empresa norte-americana de web hosting provider GoDaddy resolveu utilizar a prática de falsos-ataques para alertar os funcionários e enviou um e-mail de teste de phishing.
Nele, estava contido informações sobre um suposto bônus de natal de US$ 650 e a solicitação do preenchimento de um formulário com seus dados pessoais.
Entretanto, essa pegadinha deixou muitos funcionários furiosos, em especial por brincar com remuneração extra em tempos de crise e pandemia.
Por isso, a GoDaddy precisou pedir desculpas a suas equipes.
Diante desse exemplo, podemos refletir a seguinte questão: devemos enganar funcionários para lhes ensinar como lidar com ataques cibernéticos?
Será que a está certo testar os funcionários, enviando-lhes e-mails de phishing falsos, a fim de identificar os mais suscetíveis a golpes?
Consequências dos falsos ataques
Diversos estudos demonstram que esse tipo de ação pode ter consequências danosas, como:
- Passar a ideia de que funcionários que caem em phishing são “irresponsáveis”.
- Em vez de receberem treinamento, os funcionários enganados permanecem vulneráveis a ataques externos.
- As pessoas enganadas sentirão vergonha e ressentimento, o que poderia enfraquecer a confiança, o comprometimento com a empresa e a produtividade.
- Os colaboradores poderão enxergar esse tipo de ação como uma gestão pelo medo.
- Os colaboradores poderão adotar atitude de passividade ou de desconfiança que os leva a não responder a e-mails coletivos.
- E-mails de phishing falsos podem abordar assuntos confidenciais.
Como agir de forma correta com o seu time
É notório que a decisão de enganar os funcionários dessa forma é fruto de uma cientificização do trabalho.
Entretanto, o ambiente laboral é composto por seres humanos que também falham, mesmo sendo pessoas confiáveis.
A melhor estratégia para reduzir o número de vulnerabilidades é de fato o treinamento, porque esses testes só demonstram a fragilidade da empresa.
Assim, os funcionários enganados correm o risco de serem apresentados como imprudentes ou irresponsáveis.
E esses resultados mostram que, na verdade, os colaboradores são simplesmente vítimas de falta de um treinamento que é da responsabilidade do TI.
Ao aderir aos falsos-ataques, o TI desencoraja a equipe a buscar auxílio e suporte para saber mais sobre segurança cibernética.
Dessa forma, os funcionários enganados criam uma imagem negativa do treinamento, enxergando como uma sanção ou uma ameaça.
Vale lembrar que o TI não deve levar esse tema em um cunho punitivo.
Na realidade, os funcionários precisam do apoio das equipes de TI para se protegerem de ataques cibernéticos.
Por isso, escolha sempre uma dinâmica de auxílio e apoio mútuo, para que todos se sintam seguros ao mesmo tempo.
E aí, esse conteúdo foi útil para você? Nós da Security4IT disponibilizamos muito mais no nosso blog, venha conferir!
