Título:
Avaliação de Segurança Informática numa Instituição Pública
Autor:
Carolina Mendonça de Sousa
Local: Sala de Documentação da FCEE e Sessão Zoom
Dia/Hora: 14/03/2023 11:30 Sala de Documentação FCEE e sessão Zoom ID: 930 4503 9746 Senha: 184189
https://videoconf-colibri.zoom.us/j/93045039746?pwd=WEcyM2ViOGtkVW1LSzg5Q1VyYjJPQT09
Resumo:
A Cibersegurança vem a ser cada vez mais utilizada com o desenvolver e a integração da tecnologia no dia a dia das pessoas, seja para trabalho como vida pessoal. No contexto de Cibersegurança a Engenharia Social é um dos tipos de ataque mais utilizados, sendo que os atacantes aproveitam-sedas vulnerabilidades dos utilizadores para ter sucesso. O phishing é o método de engenharia social mais comum, este visa a recolha de informações das vítimas. Outro método de ataque utilizado são os dispositivos USB maliciosos, que contêm malware com o objetivo de difundi-lo e/ou de danificar os dispositivos.Considerando o uso destes ataques é relevante saber o quão vulneráveis as pessoas realmente estão, se existem fatores que afetam a perceção sobre os ataques, e se fornecer recursos para educaras pessoas é significativo para o aumento dos conhecimentos. É importante os utilizadores aprenderem a reconhecer e qual o procedimento a ter em situações de phishing e de dispositivos USB de fontes desconhecidas. Este conhecimento é transmitido através de campanhas de consciencialização e permite a proteção de dados no trabalho e na vida pessoal.O projeto, aqui apresentado, tem como objetivo a educação dos membros de uma comunidade académica sobre engenharia social (focando no phishing e em pens maliciosas), através de uma campanha de consciencialização. Para verificar a eficácia da campanha, foram feitos ataques simu-lados antes e depois da desta, e através dos resultados de ambos os ataques e da sua comparação,procurar identificar o grau de melhoria (ou não) da consciência das pessoas para a cibersegurança.A pouca quantidade de resultados no caso de estudo com as pens USB não permitiu fazer uma análise que pudesse avaliar o impacto na comunidade académica. Já a análise e comparação dos resultados do caso de estudo do phishing possibilitou identificar alguns dos comportamentos de risco por parte de diferentes membros da universidade e permitiu uma melhor adequação da formação em cibersegurança. A análise aos dados de ambas as campanhas mostrou uma vulnerabilidade relevante em todos os grupos, tendo em ambos os ataques, e.g., mais de 50% de ligações maliciosas selecionadas. Outro fator relevante identificado, foi o fator idade nos alunos, sendo os alunos de menor idade mais vulneráveis e este ataque, identificados como os alunos dos cursos técnicos e 1ºciclo (geralmente, idades entre 18 e 21 anos). No geral, concluiu-se que a formação necessita ser melhorada de forma a reduzir estas vulnerabilidades.