Segurança milionária, brecha de centavos
O treinamento contínuo de usuários é tão vital quanto qualquer firewall de última geração.
DOI:
https://doi.org/10.69849/8qv06323Palabras clave:
Supply Chain, BaaS, Engenharia Social, Phishing, KPIResumen
Este artigo tem como objetivo abrir a discussão sobre treinamento de pessoas em visão dos ataques cibernéticos utilizando estratégias menos técnicas e mais persuasivas, será abordado mais profundamente sobre engenharia social, phishing e outros golpes. Traz-se um estudo de caso onde este erro humano trouxe consequências catastróficas a uma empresa, com o objetivo de apresentar que apesar de todas as ferramentas de segurança e firewall, o treinamento humano nessas situações é necessário para identificar e prevenir esses perigos. O artigo utiliza referências bibliográficas para apresentar, explicar e trazer entendimento com relação à importância de treinamentos para a segurança dos dados e elementos tecnológicos de organizações. Se vê necessário e prudente a conscientização das organizações a respeito dessa importância, já que é frequente encontrar casos e situações em que estas preocupações são subestimadas ou mal homologadas.
Referencias
ADDIT. Os pilares fundamentais da segurança da informação. Disponível em: https://addit.com.br/pilares-da-seguranca-da-informacao/. Acesso em: 30 set. 2025.
ALCOFORADO, Acilégna Cristina Duarte Guedes; RIBEIRO, Emerson da Cruz; CUNHA, Jacqueline de Araújo. Condutas do fator humano: alicerce da segurança da informação. MOCI – Revista de Ciência da Informação, Belo Horizonte, v. 2, n. 2, p. 1–15, 2021. Disponível em: https://periodicos.ufmg.br/index.php/moci/article/view/17534/14317. Acesso em: 8 out. 2025.
ANDERSON, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems. 3. ed. Hoboken: Wiley, 2020.
ASPER TEC. Engenharia Social – O elo mais fraco na cibersegurança. Disponível em: https://blog.asper.tec.br/engenharia-social-ciberseguranca/. Acesso em: 30 set. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018: dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Lei Geral de Proteção de Dados Pessoais – LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm Acesso em 29. Set.2025.
C6. Banking as a Service: o que é e como funciona? Disponível em: https://www.c6bank.com.br/blog/banking-as-a-service. Acesso em 12. Set.2025.
CLOUDFLARE. Como funcionam os ataques de engenharia social?. Disponível em: https://www.cloudflare.com/pt-br/learning/security/threats/social-engineering-attack/. Acesso em: 30 set. 2025.
DATAGUIDE. Introdução à análise de maturidade em segurança da informação. Disponível em: https://dataguide.com.br/introducao-a-analise-de-maturidade-em-seguranca-da-infor macao/. Acesso em: 30 set. 2025.
DIARIO DO POVO. Funcionário da C&M Software é desligado após golpe milionário com credenciais roubadas. Disponível em: https://diario.dopovo.com.br/2025/07/04/funcionario-da-cm-software-e-desligado-apo s-golpe-milionario-com-credenciais-roubadas/#google_vignette. Acesso em: 12 set. 2025.
DHILLON, G. Realizing benefits on an information security program. Business Process Management Journal. Business Process Management Journal, 10 (3), 2004. Páginas 260-261.
ESCOLA SUPERIOR DE REDES (RNP). 6 melhores práticas de segurança da informação para empresas. Disponível em: https://esr.rnp.br/seguranca/melhores-praticas-de-seguranca-da-informacao/. Acesso em: 30 set. 2025.
ENGEHALL. Nível de maturidade da cultura de segurança: Saiba avaliar. Disponível em: https://engehall.com.br/maturidade-da-cultura-de-seguranca/. Acesso em: 30 set. 2025.
G1. Ataque hacker ao sistema financeiro: BMP perdeu, sozinha, R$ 541 milhões, outras instituições também foram afetadas. Disponível em: https://g1.globo.com/economia/noticia/2025/07/04/ataque-hacker-recursos-desviados .ghtml. Acesso em 27. Set 2025.
HANCOCK; Geoff. Cybersecurity Metrics & KPIs CISOs Use To Prove Value. YouTube, 2025. Disponível em https://www.youtube.com/watch?v=XJE_KojgFIY . Acesso em 02 de Outubro de 2025.
IBM. Phishing. Disponível em: https://www.ibm.com/br-pt/think/topics/phishing. Acesso em: 30 set. 2025.
IBM. Relatório da IBM: Custo médio de uma violação de dados no Brasil atinge R$7,19milhões Disponível em: https://brasil.newsroom.ibm.com/2025-07-30-Relatorio-da-IBM-Custo-medio-de-uma violacao-de-dados-no-Brasil-atinge-R-7,19-milhoes. Acesso em: 27 Setembro. 2025.
IBM. Social Engineering. Disponível em: https://www.ibm.com/br-pt/think/topics/social-engineering. Acesso em: 30 set. 2025.
Kahneman, D. & Knetsch, J. & Thaler, R. (1990). “Experimental tests effect and the Coase theorem.” Journal of Political Economy 98: Páginas 1325-1348.
KAHNEMAN, D. & KNETSCH, J. & THALER, R. (1991). “Anomalies: the endowment effect, loss aversion, and status quo bias.” Journal of Economic Perspecbtives 5(1): Páginas 193-206.
HUMPERT-VRIELINK, Frederik; VRIELINK, Nina. A modern approach in information security measurement. In: ______. (Ed.). Securing electronic business processes. Wiesbaden: Springer Fachmedien, 2012. Páginas 48-53.
MANN, Ian. Engenharia social. São Paulo: Edgard Blücher, 2003.
METRÓPOLIS. Ataque hacker que drenou R$ 541 milhões via Pix durou 5h na madrugada. Disponível em: https://www.metropoles.com/sao-paulo/ataque-hacker-que-drenou-r-541-milhoes-via pix-durou-5h-na-madrugada. Acesso em 27. Set 2025
MICROHARD. Deepfake e Engenharia Social: A Ameaça Silenciosa que Pode Derrubar sua Empresa. Disponível em: https://microhard.com.br/deepfake-e-engenharia-social-a-ameaca-silenciosa-que-po de-derrubar-sua-empresa/. Acesso em: 30 set. 2025.
MINISTÉRIO PÚBLICO DO ESTADO DE MATO GROSSO (MPMT). Estudo mostra que 70% das empresas preveem alto impacto de ataques com deepfake. Disponível em: https://www.mpmt.mp.br/conteudo/1217/145271/estudo-mostra-que-70-das-empresa
s-preveem-alto-impacto-de-ataques-com-deepfake. Acesso em: 30 set. 2025.
MIMECAST. The State of Human Risk 2025. Disponível em: https://www.mimecast.com/resources/ebooks/state-of-human-risk-2025/. Acesso em: 07 out. 2025.
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Universidades, 2003.
NIST. Digital identity guidelines. Disponível em: https://pages.nist.gov/800-63-3/sp800-63b.html. Acesso em: 27. Set 2025
O GLOBO. Engenharia social, ‘insider’ e venda de senha: entenda o desvio milionário do sistema do Pix. Disponível em: https://oglobo.globo.com/economia/financas/noticia/2025/07/04/engenharia-social-ins ider-e-venda-de-senha-entenda-o-desvio-milionario-do-sistema-do-pix.ghtml. Acesso em: 12 set. 2025.
PAN, Shin Ming et al. Cybersecurity: Public Sector Threats and Responses. Boca Raton: CRC Press, 2012. Disponível em: https://library.oapen.org/bitstream/handle/20.500.12657/40114/1/9781439846636.pdf. Acesso em: 3 de outubro de 2025.
PCI. Padrão de segurança de dados. Disponível em: https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-PT.pdf. Acesso em 12. Set 2025
PFLEEGER, Charles P.; PFLEEGER, Shari Lawrence. Security in Computing. 5. ed. Upper Saddle River: Prentice Hall, 2012.
PONTIFÍCIA UNIVERSIDADE CATÓLICA DO RIO DE JANEIRO — PUC‑RIO. Engenharia social. Especialização CCEC — PUC‑RIO, s.d. Disponível em: https://especializacao.ccec.puc-rio.br/blog/engenharia-social. Acesso em: 07 out. 2025.
PROOFPOINT. Treinamento de segurança da informação - Security Awareness Training. Disponível em: https://www.proofpoint.com/br/threat-reference/security-awareness-training. Acesso em: 30 set. 2025.
REDE LÍDERES. Como proteger empresas contra a engenharia social. Disponível em: https://redelideres.com/2025/02/06/como-proteger-empresas-contra-a-engenharia-so cial/. Acesso em: 30 set. 2025.
SERASA. Vishing, smishing ou phising: entenda a diferença. Disponível em:
https://www.serasa.com.br/premium/blog/vishing-smishing-ou-phishing-qual-a-diferen ca/. Acesso em: 30 set. 2025.
SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. New York: W. W. Norton & Company, 2015.
TIINSIDE. Incidente com a C&M e o PIX: lições para construir uma Supply Chain segura. Disponível em: https://tiinside.com.br/15/07/2025/incidente-com-a-cm-e-o-pix-licoes-para-construir-u ma-supply-chain-segura/. Acesso em: 12 set.2025.
WEIGERT, Alexsander; CASTILHO JÚNIOR, Gelásio Onofre de. Utilização de firewall em aplicação de segurança e ferramentas gerenciais. Trabalho de Conclusão de Curso (Graduação) — Universidade Tecnológica Federal do Paraná, UTFPR, 2017. Disponível em: https://riut.utfpr.edu.br/jspui/bitstream/1/9706/1/CT_COTEL_2017_1_1.pdf. Acesso em: 9 out. 2025.
Descargas
Publicado
Número
Sección
Licencia
Derechos de autor 2026 Ana Carolina de Oliveira, Felipe Antonio de Melo Alves, Gabriel Bastos Pagamisse, Nicolas Briz de Siqueira, Sidnei Luiz da Silva Júnior (Autor)
Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.
"Os Autores que publicam nesta revista concordam com os seguintes termos:
-
Os Autores mantêm os direitos autorais e concedem à revista o direito de primeira publicação, com o trabalho simultaneamente licenciado sob a licença Creative Commons Attribution 4.0 International (CC BY 4.0). Esta licença permite que o trabalho seja compartilhado, copiado e adaptado em qualquer suporte ou formato, para qualquer fim, inclusive comercial, desde que seja atribuído o devido crédito de autoria e de publicação inicial nesta revista.
-
Os Autores têm autorização para assumir compromissos contratuais adicionais separadamente, para a distribuição não-exclusiva da versão do trabalho publicada nesta revista (ex.: publicar em repositório institucional ou como capítulo de livro), com reconhecimento de autoria e publicação inicial nesta revista.
-
A revista permite e incentiva os autores a publicar e distribuir seu trabalho online (ex.: em repositórios institucionais ou na sua página pessoal) após o processo de edição e publicação, pois isso pode gerar alterações produtivas, bem como aumentar o impacto e a citação do trabalho publicado."
