Segurança milionária, brecha de centavos: O treinamento contínuo de usuários é tão vital quanto qualquer firewall de última geração.

Ana Carolina de Oliveira; Felipe Antonio de Melo Alves; Gabriel Bastos Pagamisse; Nicolas Briz de Siqueira; Sidnei Luiz da Silva Júnior

doi:10.69849/8qv06323

Authors

Ana Carolina de Oliveira Author
Felipe Antonio de Melo Alves Author
Gabriel Bastos Pagamisse Author
Nicolas Briz de Siqueira Author
Sidnei Luiz da Silva Júnior Author

DOI:

https://doi.org/10.69849/8qv06323

Keywords:

Supply Chain, BaaS, Social Engineering, Phishing, KPI

Abstract

This article has the objective of opening a discussion about the training of people in vision of cybernetic attacks utilizing strategies with less technical aspects and a more persuasive way, it will be addressed further about social engineering, phishing and other scams. A case study is brought up, where the human mistake made catastrophic consequences to a company, with the objective to present that although all the security tools and firewall, human training in these situations is necessary to identify and prevent such dangers. The article utilizes bibliographic references to show, explain and bring understanding about the importance of practices for data security and technological elements of companies. Is seen as necessary and prudent for institutions to raise awareness regarding this importance, given that it is common to find instances and situations in which those worries are underestimated or poorly approved.

References

ADDIT. Os pilares fundamentais da segurança da informação. Disponível em: https://addit.com.br/pilares-da-seguranca-da-informacao/. Acesso em: 30 set. 2025.

ALCOFORADO, Acilégna Cristina Duarte Guedes; RIBEIRO, Emerson da Cruz; CUNHA, Jacqueline de Araújo. Condutas do fator humano: alicerce da segurança da informação. MOCI – Revista de Ciência da Informação, Belo Horizonte, v. 2, n. 2, p. 1–15, 2021. Disponível em: https://periodicos.ufmg.br/index.php/moci/article/view/17534/14317. Acesso em: 8 out. 2025.

ANDERSON, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems. 3. ed. Hoboken: Wiley, 2020.

ASPER TEC. Engenharia Social – O elo mais fraco na cibersegurança. Disponível em: https://blog.asper.tec.br/engenharia-social-ciberseguranca/. Acesso em: 30 set. 2025.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018: dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Lei Geral de Proteção de Dados Pessoais – LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm Acesso em 29. Set.2025.

C6. Banking as a Service: o que é e como funciona? Disponível em: https://www.c6bank.com.br/blog/banking-as-a-service. Acesso em 12. Set.2025.

CLOUDFLARE. Como funcionam os ataques de engenharia social?. Disponível em: https://www.cloudflare.com/pt-br/learning/security/threats/social-engineering-attack/. Acesso em: 30 set. 2025.

DATAGUIDE. Introdução à análise de maturidade em segurança da informação. Disponível em: https://dataguide.com.br/introducao-a-analise-de-maturidade-em-seguranca-da-infor macao/. Acesso em: 30 set. 2025.

DIARIO DO POVO. Funcionário da C&M Software é desligado após golpe milionário com credenciais roubadas. Disponível em: https://diario.dopovo.com.br/2025/07/04/funcionario-da-cm-software-e-desligado-apo s-golpe-milionario-com-credenciais-roubadas/#google_vignette. Acesso em: 12 set. 2025.

DHILLON, G. Realizing benefits on an information security program. Business Process Management Journal. Business Process Management Journal, 10 (3), 2004. Páginas 260-261.

ESCOLA SUPERIOR DE REDES (RNP). 6 melhores práticas de segurança da informação para empresas. Disponível em: https://esr.rnp.br/seguranca/melhores-praticas-de-seguranca-da-informacao/. Acesso em: 30 set. 2025.

ENGEHALL. Nível de maturidade da cultura de segurança: Saiba avaliar. Disponível em: https://engehall.com.br/maturidade-da-cultura-de-seguranca/. Acesso em: 30 set. 2025.

G1. Ataque hacker ao sistema financeiro: BMP perdeu, sozinha, R$ 541 milhões, outras instituições também foram afetadas. Disponível em: https://g1.globo.com/economia/noticia/2025/07/04/ataque-hacker-recursos-desviados .ghtml. Acesso em 27. Set 2025.

HANCOCK; Geoff. Cybersecurity Metrics & KPIs CISOs Use To Prove Value. YouTube, 2025. Disponível em https://www.youtube.com/watch?v=XJE_KojgFIY . Acesso em 02 de Outubro de 2025.

IBM. Phishing. Disponível em: https://www.ibm.com/br-pt/think/topics/phishing. Acesso em: 30 set. 2025.

IBM. Relatório da IBM: Custo médio de uma violação de dados no Brasil atinge R$7,19milhões Disponível em: https://brasil.newsroom.ibm.com/2025-07-30-Relatorio-da-IBM-Custo-medio-de-uma violacao-de-dados-no-Brasil-atinge-R-7,19-milhoes. Acesso em: 27 Setembro. 2025.

IBM. Social Engineering. Disponível em: https://www.ibm.com/br-pt/think/topics/social-engineering. Acesso em: 30 set. 2025.

Kahneman, D. & Knetsch, J. & Thaler, R. (1990). “Experimental tests effect and the Coase theorem.” Journal of Political Economy 98: Páginas 1325-1348.

KAHNEMAN, D. & KNETSCH, J. & THALER, R. (1991). “Anomalies: the endowment effect, loss aversion, and status quo bias.” Journal of Economic Perspecbtives 5(1): Páginas 193-206.

HUMPERT-VRIELINK, Frederik; VRIELINK, Nina. A modern approach in information security measurement. In: ______. (Ed.). Securing electronic business processes. Wiesbaden: Springer Fachmedien, 2012. Páginas 48-53.

MANN, Ian. Engenharia social. São Paulo: Edgard Blücher, 2003.

METRÓPOLIS. Ataque hacker que drenou R$ 541 milhões via Pix durou 5h na madrugada. Disponível em: https://www.metropoles.com/sao-paulo/ataque-hacker-que-drenou-r-541-milhoes-via pix-durou-5h-na-madrugada. Acesso em 27. Set 2025

MICROHARD. Deepfake e Engenharia Social: A Ameaça Silenciosa que Pode Derrubar sua Empresa. Disponível em: https://microhard.com.br/deepfake-e-engenharia-social-a-ameaca-silenciosa-que-po de-derrubar-sua-empresa/. Acesso em: 30 set. 2025.

MINISTÉRIO PÚBLICO DO ESTADO DE MATO GROSSO (MPMT). Estudo mostra que 70% das empresas preveem alto impacto de ataques com deepfake. Disponível em: https://www.mpmt.mp.br/conteudo/1217/145271/estudo-mostra-que-70-das-empresa

s-preveem-alto-impacto-de-ataques-com-deepfake. Acesso em: 30 set. 2025.

MIMECAST. The State of Human Risk 2025. Disponível em: https://www.mimecast.com/resources/ebooks/state-of-human-risk-2025/. Acesso em: 07 out. 2025.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Universidades, 2003.

NIST. Digital identity guidelines. Disponível em: https://pages.nist.gov/800-63-3/sp800-63b.html. Acesso em: 27. Set 2025

O GLOBO. Engenharia social, ‘insider’ e venda de senha: entenda o desvio milionário do sistema do Pix. Disponível em: https://oglobo.globo.com/economia/financas/noticia/2025/07/04/engenharia-social-ins ider-e-venda-de-senha-entenda-o-desvio-milionario-do-sistema-do-pix.ghtml. Acesso em: 12 set. 2025.

PAN, Shin Ming et al. Cybersecurity: Public Sector Threats and Responses. Boca Raton: CRC Press, 2012. Disponível em: https://library.oapen.org/bitstream/handle/20.500.12657/40114/1/9781439846636.pdf. Acesso em: 3 de outubro de 2025.

PCI. Padrão de segurança de dados. Disponível em: https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-PT.pdf. Acesso em 12. Set 2025

PFLEEGER, Charles P.; PFLEEGER, Shari Lawrence. Security in Computing. 5. ed. Upper Saddle River: Prentice Hall, 2012.

PONTIFÍCIA UNIVERSIDADE CATÓLICA DO RIO DE JANEIRO — PUC‑RIO. Engenharia social. Especialização CCEC — PUC‑RIO, s.d. Disponível em: https://especializacao.ccec.puc-rio.br/blog/engenharia-social. Acesso em: 07 out. 2025.

PROOFPOINT. Treinamento de segurança da informação - Security Awareness Training. Disponível em: https://www.proofpoint.com/br/threat-reference/security-awareness-training. Acesso em: 30 set. 2025.

REDE LÍDERES. Como proteger empresas contra a engenharia social. Disponível em: https://redelideres.com/2025/02/06/como-proteger-empresas-contra-a-engenharia-so cial/. Acesso em: 30 set. 2025.

SERASA. Vishing, smishing ou phising: entenda a diferença. Disponível em:

https://www.serasa.com.br/premium/blog/vishing-smishing-ou-phishing-qual-a-diferen ca/. Acesso em: 30 set. 2025.

SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. New York: W. W. Norton & Company, 2015.

TIINSIDE. Incidente com a C&M e o PIX: lições para construir uma Supply Chain segura. Disponível em: https://tiinside.com.br/15/07/2025/incidente-com-a-cm-e-o-pix-licoes-para-construir-u ma-supply-chain-segura/. Acesso em: 12 set.2025.

WEIGERT, Alexsander; CASTILHO JÚNIOR, Gelásio Onofre de. Utilização de firewall em aplicação de segurança e ferramentas gerenciais. Trabalho de Conclusão de Curso (Graduação) — Universidade Tecnológica Federal do Paraná, UTFPR, 2017. Disponível em: https://riut.utfpr.edu.br/jspui/bitstream/1/9706/1/CT_COTEL_2017_1_1.pdf. Acesso em: 9 out. 2025.

Million-dollar security, cent-Level vulnerability

Continuous user training is as vital as any state-of-the-art firewall.

Authors

DOI:

Keywords:

Abstract

References

Downloads

Published

Issue

Section

License

How to Cite

Language