Público-alvo da ação foram os empregados da Companhia
Preocupada com as boas práticas de governança de TI e segurança da informação, a Companhia de Saneamento Ambiental do Distrito Federal (Caesb) desenvolveu uma ação educativa voltada para seus empregados com o objetivo de conscientizar e fortalecer a cultura de prevenção a fraudes e vazamento de dados na Companhia.
A equipe de Segurança de TI enviou aos empregados um e-mail phishing, um tipo de ataque de engenharia social, que falava sobre assuntos de interesse dos empregados. O e-mail possuía vários pontos que indicavam se tratar de uma mensagem falsa e que, portanto, deveriam ser observados pelos usuários como endereço do remetente incorreto, nome da área de RH que não existia, erros de português, entre outros.
Os 152 usuários que clicaram no link fornecido no corpo do e-mail, permitindo o acesso às suas credenciais, foram redirecionados para um treinamento que destaca os pontos de atenção que se deve ter ao receber e-mails suspeitos, além de reforçar os cuidados com a segurança da informação.
Antes de disparar o e-mail phishing, a Assessoria de Tecnologia da Informação e Telecomunicações (PRT) promoveu a Semana de Conscientização de Segurança da Informação. Durante este período, foram enviados diariamente alertas e orientações de prevenção de riscos de segurança da informação com intuito de conscientizar os empregados, colaboradores e estagiários da Caesb.
Além do e-mail phishing, como ação preventiva, foi executada uma simulação de ataque no Microsoft Defender que permite realizar simulações de ataques cibernéticos benignos na organização. Essas simulações testam as políticas e práticas de segurança, além de treinar seus empregados para aumentar sua conscientização e diminuir sua suscetibilidade a ataques.
O gerente de Infraestrutura de Tecnologia e Telecomunicações da Caesb, Luiz Marcelo Serique, explica que essas ações de segurança seguem orientações de boas práticas de governança de TI e diretrizes da Política de Segurança da Informação da Caesb. Elas ocorrerão periodicamente, sem prévio aviso, seguindo um plano de ação da equipe de Segurança de TI, permitindo acompanhar a evolução da conscientização dos empregados quanto a este tema. “A ação foi para alertar os empregados que apesar da Caesb ter diversas ferramentas para coibir ações de hackers, o usuário faz parte da engrenagem de segurança”, destaca Serique.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Em 2013, a Caesb começou a elaboração de uma Política de Segurança da Informação e criou um comitê para analisar normas, boas práticas e identificar padrões de referência sobre o tema. O gerente de Produtos e Serviços de TI da Caesb, Uanderson de Oliveira, esclarece que, graças a essa Política, a Companhia implementou diversas melhorias em seus processos e na infraestrutura de TI, como por exemplo, a construção de dois centros de dados e o desenvolvimento de sistemas de segurança para controlar o acesso aos sistemas corporativos.
“A segurança da informação é obtida através da implementação de controles, de processos e de políticas que fortaleçam o negócio, por meio da minimização dos riscos e, consequentemente, da promoção da segurança da Empresa. Dentre as metodologias que avaliamos, resolvemos adotar como referência as publicações do National Institute of Standards and Technology – NIST 800-37 e 800-53, metodologias americanas reconhecidas por serem abrangentes e flexíveis para o gerenciamento de riscos cibernéticos”, explica Uanderson de Oliveira.
Companhia de Saneamento Ambiental do Distrito Federal - Caesb
Av. Sibipiruna - Lotes 13/21 - Centro de Gestão Águas Emendadas - Águas Claras - Brasília/DF - CEP: 71.928-720
Central de Atendimento ao Usuário: Fone 115 (24 horas)
   |
  |
caesb