Com vista a consciencializar e alertar os seus colaboradores sobre o phishing, o BPI implementou a plataforma Cybeready, disponibilizada em Portugal pela Oramix. O projecto foi apresentado recentemente por Mário Fernandes, CISO & Information Security Department Director do BPI, durante o Webinar “Why banks transition to fully-automated security awareness trainings”, organizado pela Oramix.
O responsável esclareceu que actualmente o phishing é a “forma preferencial” através da qual os atacantes procuram implantar malware dentro das redes. E, mesmo com o investimento em tecnologia, a organização verificava que o utilizador “acabava sempre por cair”, ou seja, era o elo mais fraco.
Neste sentido, salientou a importância de tornar as pessoas mais capazes de identificar e neutralizar um email de phishing quando este chega às suas caixas de correio. A empresa pretendeu assim, melhorar a postura de segurança dos utilizadores e evitar o risco que o phishing representa para a organização.
Juntamente com o CaixaBank, o BPI desenhou um programa com quatro etapas tendo em vista solucionar o problema do phishing com consciencialização de segurança. Depois de procurar uma solução no mercado, decidiu apostar, há dois anos, na Cybeready. Mário Fernandes explicou que a empresa queria algo fácil de implementar e que o programa fosse bastante abrangente.
Após a implementação, a organização preparou uma lista de utilizadores, domínios, emails a enviar para testar a resposta das pessoas, bem como a sua frequência de envio. Paralelamente, implementou no Outlook um botão de phishing para o utilizar reportar ao Cyber SOC qualquer email suspeito e apostou numa prática de gamificação, dando feedback imediato aos seus utilizadores e reconhecendo-os com um diploma de “Zero Clicker”, no final do ano. Além destas medidas, passou a disponibilizar mais notícias e informação na home page da intranet sobre acções de campanhas de phishing.
Dois anos depois, o CISO da organização destacou que “a segurança melhorou” e “as pessoas conseguem distinguir melhor as situações de phishing”, representando uma redução do risco.
A plataforma tem capacidade de adaptação através da aprendizagem que faz da utilização do seu interlocutor. O responsável aponta que até hoje, após a sua implementação, não teve nenhum incidente de segurança, provocado por um email que tenha entrado e tenha sido clicado pelo utilizador.
Quanto ao futuro, Mário Fernandes destacou que pretende olhar com mais atenção para a informação fornecida pela plataforma e fazer acções dirigidas para departamentos e pessoas, de forma a diminuir o número de utilizadores de alto risco – que actualmente está nos 0,2%, contra 88% de baixo risco . A empresa pretende ainda melhorar a informação para construir campanhas com informação mais real e relacionada com o que emocionalmente as pessoas estejam mais vulneráveis e apostar em mais formação presencial.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
pub
