Cultura de Segurança no Asaas: conheça ações que promovemos para proteger nossa nave

Escrito por Priscila Coelho e Nayane Cardinay

O Departamento de Security do Asaas, criado em outubro de 2021, nasceu com o objetivo de construir uma cultura de segurança entre todos os tripulantes. Um dos pilares mais importantes da atuação do time é a promoção de ações internas com o intuito de fortalecer essas práticas, baseando-se na educação e sensibilização dos colaboradores voltados para a temática de Cyber Security.

Neste artigo, vamos compartilhar algumas dessas ações. Continue com a gente!

Onboarding de Segurança da Informação

O processo de Onboarding de Segurança da Informação para novos colaboradores desempenha um papel importante na proteção dos ativos e dados aqui no Asaas. Inicialmente, os recém-chegados são recebidos com uma apresentação informativa, que oferece dicas de segurança e exemplos práticos para aumentar a conscientização sobre ameaças cibernéticas comuns.

Essa primeira etapa visa sensibilizar os colaboradores para a importância da segurança da informação em seu dia a dia, ajudando a criar uma cultura organizacional mais segura.

Treinamento online

Após o onboarding, os novos colaboradores são direcionados a um treinamento online mais abrangente, a nossa Trilha de Segurança da Informação. Na trilha exploramos a fundo temas relevantes relacionados à cibersegurança, desde conceitos básicos de Segurança, Engenharia Social e Phishing, a situações mais complexas envolvendo Gestão de Incidente de Segurança da Informação e PCI-DSS (falamos sobre esse tema em um post no nosso instagram de Carreiras!).

Com esse treinamento, os colaboradores têm a oportunidade de desenvolver uma visão mais ampla de Segurança Cibernética, fortalecendo a defesa dentro da organização contra ameaças virtuais.

Após a conclusão do treinamento, os novos colaboradores são submetidos na prática a um teste de phishing, para que seja possível avaliar a maturidade deles em Segurança da Informação.

O que é Phishing?

Phishing é um tipo de ataque cibernético onde um criminoso finge fazer parte de uma instituição legítima para convencer as vítimas a entregarem informações confidenciais ou executar ações maliciosas. Os hackers costumam contatar seus alvos via e-mail, telefone ou mensagens de texto, e geralmente se aproveitam de táticas de comunicação ou identidades visuais que remetem ao estilo de empresas conhecidas.

O contato se faz de maneira autêntica, para atrair e induzir a vítima a fornecer informações sigilosas como: dados bancários, cartão de crédito, senhas e outras informações confidenciais.

Teste de Phishing no Asaas

O teste de phishing é utilizado pelo Asaas para determinar o quanto os colaboradores estão suscetíveis a um ataque real, e se destina tanto para novos colaboradores quanto para os que já estão há um tempo conosco. O teste é feito em um ambiente controlado, e tanto o e-mail disparado quanto a página utilizada para captura de informações são simulações perfeitas de e-mails e páginas reais.

Estes ataques simulados ajudam o time de Segurança da Informação a identificar as ameaças atuais e proporciona ao time concepções de como evitar ameaças reais. Quando um colaborador passa por uma situação de phishing, ele terá a oportunidade de avaliar se a mensagem é verídica ou falsa, proporcionando conhecimento para ajudá-lo a reconhecer os sinais desse tipo de ataque e encorajá-lo a denunciar tentativas de phishing ao time de Segurança da Informação.

Pós teste

Após o teste de phishing, o time de Segurança coleta os dados da campanha para analisar se ela foi bem sucedida, verificando quantos colaboradores clicaram no link, quantos informaram o time de segurança e quantos nem sequer abriram o e-mail.

Após as análises, o time de Segurança envia de maneira anônima um feedback para os participantes da campanha. Os colaboradores que clicaram no link malicioso, recebem um feedback construtivo informando sobre o teste e orientando para refazer o treinamento de Engenharia Social e Phishing. Os colaboradores que reportaram para o time de Segurança sobre o e-mail de phishing recebem um feedback positivo, em que o time de Segurança da Informação o parabeniza pela atitude.

O principal objetivo do teste, além de entender o nível de maturidade do colaborador, é também verificar se em casos reais o colaborador irá acionar o time de Segurança da Informação.

De forma geral, o conjunto das três metodologias (Onboarding de Segurança da Informação, a Trilha de Segurança da Informação e o Teste de Phishing), fornecem insights valiosos sobre a conscientização e prontidão dos colaboradores em relação à Segurança da Informação, criando uma base consistente para proteger o Asaas e seus ativos contra ameaças cibernéticas.

Continue aprendendo sobre a cultura do Asaas acessando este artigo sobre nossos rituais.

Estamos com oportunidades abertas! Confira nossas vagas e venha trabalhar com a gente.

Ah, e se você curtiu esse post, não deixe de bater palmas pra ele! 👏