Um phishing (palavra sem tradução em nosso idioma) é mais uma atividade desenvolvida por crackers nas redes como forma de roubo de senhas e descobrir informações sobre o usuário proprietário do equipamento invadido. Seria tal procedimento correto, se desenvolvido por parte dos patrões, sobre seus colaboradores? É isto o que acontece com as medidas de segurança que estão sendo aplicados nas intranets pelas organizações.

Seria suficiente a justificativa que a organização precisa compreender os seus funcionários, para então poder estabelecer para ele, rotinas de segurança? Ciclos de ataque rápido seguidos da distribuição de tutoriais, como se fossem um manual de boas práticas, são aceitáveis? Jay Roxe, CIO da Rapid7, analisou o fato e considera que tal medida pode ajudar os colaboradores a entenderem os ataques de phishing e mantê-los mais conscientes dos ataques e de formas de evitá-los.

Publicidade
Publicidade

O CIO (Chief Information Officer) citado tece sua rede de justificativas apoiado nos possíveis bons resultados, considerando que os maiores furos de segurança nas organizações parte de ataques sofridos por seus colaboradores ou aberturas que eles dão com seus móveis e smartphones, acessando a rede WI-FI que, como se sabe, não é tão segura como apregoam por aí.

Atitudes como estas apenas aumentam uma tradicional animosidade entre a TI e os usuários finais, uma relação frágil e que pode ser comprometida caso a organização adote este procedimento

Não há dúvida de que os usuários e seus comportamentos são um dos potenciais buracos no modelo de segurança, mas a relação entre a TI e os usuários muitas vezes é frágil, e atacar estes usuários pode não ser uma atitude bem recebida.

Vai ser difícil a manutenção de uma relação de confiança e ao mesmo tempo tomar tais atitudes, ainda que manter sua rede segura.

Publicidade

Outros CIOS ao comentarem as colocações de Roxe ou efetuar novas considerações devido a problemas encontrados em suas organizações. Jogar o tema para a área de engenharia social parece ser a saída, para proteger uma relação que importa manter em bom nível. Ao levar as coisas para o campo da proteção pessoal, a aceitação parece ser maior e diminuir as resistências. Levar para o campo do treinamento, funciona em uma segunda etapa, depois que a engenharia social interna, gastou seus conhecimentos em inteligência emocional para gerir os conflitos.

A organização que deseja utilizar esta técnica deve ser transparente e deixar especificada de forma clara quais as reais intenções. Ninguém pode garantir a não continuidade das ações, depois que o processo é dado como encerrado. É um cuidado que tem que ser tomado, para manter o frágil relacionamento TI x usuário em um bom nível.