O Banco americano JP Morgan Chase & Co em 2016 vai dobrar seus investimentos em Segurança da Informação e tem como prioridade a evangelização de seus funcionário sobre procedimentos de segurança corporativa.
Por Regina Tupinambá
Preocupados com a segurança porque foram vítimas de uma série de recentes e recorrentes ataques, os especialistas americanos afirmam que os bancos gastarão bilhões de dólares a mais em seus orçamentos em segurança da informação para tentar mitigar os riscos de invasão e afastar um exército de hackers de seus bancos de dados. Quanto a isso, estão atentos as ameaças internas, ou seja, acreditam que as maiores ameaças podem vir de dentro das próprias organizações financeiras.
Segundo matéria publicada dia 22 de janeiro, escrita por Robin Sidel do The Wall Street Journal, os bancos temem que o crescente número de empregados, involuntariamente, expõem informações valiosas para hackers deixando pistas digitais que facilitam a uma violação.
Para impulsionar suas defesas, as empresas estão proibindo seus funcionários de usar dispositivos portáteis, como drives USB, alertando para que tenham cuidado com o que postam nas em mídias sociais. Devem evitar por exemplo, fazer checking e programarem avisos de respostas automáticas com o status “out-of-office”.
Vários outros bancos americanos também estão cada vez mais preocupados que seus funcionários sejam vítimas de “spear-phishing”, em que os criminosos atraem os destinatários a clicar em links. Esses links geralmente contêm malwares que permite que hackers acessem senhas ou outras informações confidenciais.
O JP Morgan Chase & Co., o maior banco americano em ativos, depois de atingido com uma violação de dados enorme que expôs informações de 76 milhões de famílias, enviou um e-mail com phishing falso como um teste aos seus mais de 250.000 funcionários. Cerca de 20% deles clicaram no link.
Segundo o artigo do The Wall Street Journal, de acordo com um memorando enviado aos funcionários o JP Morgan relatou que o banco proíbe que os funcionários usem seus endereços de correio eletrônico do trabalho para uso pessoal, e principalmente, proíbe que o email corporativo seja utilizado para se registrar em sites de compras ou contas de mídia social como o LinkedIn.
Só agora os Bancos americanos investem na evangelização sobre segurança da informação de seus funcionários. Incrível!
Ao ler isso fiquei impressionada com a displicência com a segurança de um banco do porte do JP Morgan, uma das maiores organizações americanas, diga-se de passagem.
Há anos (1999) quando comecei a trabalhar em uma Autoridade Certificadora brasileira, essas regras eram bá-si-cas e éramos monitorados de perto quanto a utilização de e-mails da Cia, cliques em links falsos e advertidos quando essas regras eram quebradas. Nossos novos funcionários antes de iniciarem suas atividades eram recepcionados com treinamentos sobre segurança e sabatinados incessantemente com alertas sobre segurança.
Quem não me deixa mentir é nosso atual colunista Sérgio Leal que pessoalmente ministrava essa parte do treinamento de boas-vindas quando era o Security Office da CIA. Éramos muito rigorosos com esses procedimentos e o mais importante é que o staff da Cia demostrava, claramente e constantemente, o quanto esses procedimentos eram importantes para nossa segurança.
Passados quase 20 anos, ouvir que esses procedimentos de segurança envolvendo a evangelização dos funcionários começarão a ser priorizados por uma das maiores instituições financeiras americanas, no mínimo desnuda a displicência e a miopia em relação a segurança da informação por parte dessas empresas, porque, não tenho dúvidas que existem profissionais de TI suficientemente capacitados dentro dessas organizações e com respostas e soluções para mitigar as vulnerabilidades que estão expostos.
Conclusão que chego: Os CIOs precisam preparar melhor seus informes aos conselhos administrativos das grandes empresas e os CEOs e demais diretores devem espelhar para dentro de suas organizações o selo com a segurança da informação.
Cadastre-se para receber informações sobre o ID Plus Training. Calendário das classes abertas. Também ministramos treinamentos customizados “in company”.
Nossos Treinamentos sobre Criptografia e Identificação Digital apresentam casos reais sobre vulnerabilidades e as possíveis soluções disponibilizadas no mercado e como analisar as ofertas de projetos e soluções. Treine sua equipe!
[toggles title=”Inscreva-se para receber informações.”]
Erro: Formulário de contato não encontrado.
[/toggles]