O usuário e a segurança

  • Artigo

Marcelo Thalenberg

Publicado: setembro 17, 2006

O usuário e a segurança

Aplica-se a:

  • Outlook 2003
Nesta página

Visão Geral
Torne o usuário consciente e inteligente em segurança sem tecniquês
Torne a questão de prevenção e segurança compreensível ao usuário final.
Conclusão

Visão Geral

Eduque o usuário sobre segurança e o uso do e-mail e elimine problemas antes que ocorram.

Torne o usuário consciente e inteligente em segurança sem tecniquês

Linda era assistente de vendas em uma empresa de tecnologia, quando o vírus “I love you” se espalhou. Linda recusou se a seguir as instruções de não abrir e-mail com a palavra love no Assunto com a seguinte afirmação: Pode ser uma mensagem do meu marido! Naquele dia 4 mil pessoas tiveram seus computadores paralisados e a empresa gastou uma semana para eliminar o vírus espalhado nas filiais da empresa.

A emoção de Linda não permitiu a ela racionalizar o problema.

Colegas entre assustados e previdentes recebem e espalham noticias sobre vírus sem verificar a veracidade e pior sem entender o conteúdo.

“Trojan” é um palavrão incompreensível ao usuário final, mas acende a luz de perigo. Assim como um vírus biológico, que ele não enxerga, ele não entende e não sabe o que fazer. Os profissionais de TI com sua naturalidade peculiar falam em tecniquês criando a imagem de profissional arrogante que detém o conhecimento. Para muitos é difícil fazer o usuário final entender o problema. A solução pode ser simples como a de instrutores em um treinamento de vendas de TI e Telecomunicações, que se preocuparam em esclarecer acrônimos como SLA* e palavras em inglês de TI e negócios. Percebemos que os participantes não conheciam todas as palavras e acrônimos e procuramos transmitir aos participantes o significado. Mesmo em TI nós não dominamos toda a sopa de letras diz Antonio Bucci, um dos instrutores, O usuário leigo deve ser treinado e receber a informação de forma clara.

Torne a questão de prevenção e segurança compreensível ao usuário final.

O portalwww.itweb.com.br publicou em 08/06/2006 a resposta de Howard Schmidt especialista no assunto no IT Conference: A segurança deve fazer parte do nosso dia-a-dia. E na visão do especialista Howard Schmidt, que em seu currículo acumula passagens pela Casa Branca, Microsoft e eBay, é uma questão cultural. “Todos somos responsáveis pela internet, por isto cada um tem de fazer a sua parte, protegendo a rede e o computador.” Educar e treinar os funcionários são questões primordiais na hora de planejar a arquitetura da segurança das empresas. Mas, explica Schmidt, a área de TI precisa fornecer os recursos necessários e de uma maneira simplificada. “A segurança somente é bem-sucedida quando facilitada, Ou seja, não adianta pedir que o usuário mude de senhas e tenha combinações complexas.” De acordo com ele, as invasões ocorrem porque ninguém acredita que será vítima até que algo aconteça.

Hoje poucas empresas fazem treinamentos e muitas quando o fazem, acham que ensinar regras de uso de e-mail e mostrar as punições é tudo. O resultado é insatisfatório. Antes de explicar a tecnologia existe uma analise dos comportamentos que nos enganam e suas emoções. A engenharia social estuda o assunto. Em meus treinamentos sempre mostro alguns casos como:

  • Falso e-mail da Receita Federal (figura 1)

  • O assunto do e-mail diz: Irregularidades na Receita Federal

  • Comportamento comum: O usuário indignado pensa, mas eu não devo nada fiz tudo certo e indignado nem lê direito o e-mail e clica no hiperlink, e aí já era. O executável foi instalado e os dados serão roubados.

“A figura 1 mostra um falso e-mail que recebi como se fosse da Receita Federal. A imagem capturada e tratada mostra o hiperlink com o “. "exe” * visível. A imagem apresentada em treinamentos transforma o perigo invisível em real e o usuário finalmente compreende o perigo e previne-se de e-mails maliciosos.

Cc716498.0(pt-br,TechNet.10).jpgFigura 1 Falso e-mail da receita federal e hiperlink visível tornam o usuário consciente do problema.

Para o invasor o conteúdo da linha do assunto no e-mail é chave. O usuário tem que ser enganado para tomar reações emocionais sem pensar, e entre assustado e ansioso clique no hiperlink.

O treinamento comportamentoal dá consciência ao usuário e junto com o uso de regras do Outlook aumenta a segurança e produtividade na empresa. Os conceitos comportamentais quebram paradigmas e criam uma nova visão e atitude.. Um executivo que recusava a usar o filtro de lixo eletrônico por ser perda de tempo, passou a usá-lo e ensinar a sua equipe após entender a proteção que trazia á sua equipe. Para quem não sabe as Opções de Lixo Eletrônico do Outlook 2003 além de filtrar travam os hiperlink de mensagens duvidosas.

P.S :Segue os significados das palavras técnicas para leigos. SLA – Service Level Agreement: tipo de contrato que define os parâmetros do serviço a ser fornecido
*.Exe: Final de arquivo executável que ao ser explicado o usuário final entende. Trojan: um tipo de programa que parece seguro, mas esconde um vírus ou um programa invasor, O significado vem da história do Cavalo de Tróia.

Conclusão

Treinamento de usuários que explicam comportamentos e o uso da tecnologia, criam uma nova cultura. Novas metodologias no uso do e-mail e o uso intenso de regras e filtros do Outlook desentopem as vias e tornam a comunicação eficaz.

Links Relacionados:

Marcelo Thalenberg é MVP Outlook, atua no mercado há 25 anos. Hoje é diretor da Consultoria MT Criativa onde desenvolve treinamentos em produtividade com o Outlook. Autor dos livros Socorro, roubaram meu tempo + de 100 soluções com o Outlook e é o primeiro brasileiro na série americana For Dummies com Managing Your Business with Outlook 2003 For Dummies. Fundou nos anos 90 as empresas B.I. Tecnologia integradora de CTI (Computer Telephony Integration) e Bridge International hoje Avnet do Brasil. Engenheiro elétrico, è palestrante sobre tecnologia há mais de 15 anos. Ganhou prêmios de marketing com eventos criativos para a Avnet do Brasil