Processo de awareness dos utilizadores nas redes militares

O presente trabalho de investigação aplicada tem como titulo “Processo de Awareness dos Utilizadores nas Redes Militares”, com o intuito de “identificar a forma mais eficiente e eficaz de efetuar um design de um processo de awareness de forma a sensibilizar os utilizadores do sistema de e-mail do Exército para os ataques de phishing” que é o objetivo desta investigação. Por este motivo, de início foram selecionados objetivos específicos que remetem para este principal. Foi definido que precisamos de conhecer as principais teorias comportamentais que influenciam o sucesso dos ataques de phishing, de forma a perceber e combater estes mesmos. Foi, também, necessário perceber quais os principais métodos ou técnicas de ensino de atitudes, para possibilitar a sensibilização dos utilizadores, como também era necessário definir o meio de awareness para executar esta mesma. Por último, era necessário o processo de awareness, portanto, precisamos de critérios de avaliação e, para isso, é importante definir estes mesmos para validar a investigação. Para responder a estes quatro objetivos específicos e ao objetivo geral da investigação foi criada a questão central do trabalho que é “Como efetuar o design de um processo de awareness para o Exército que reduza o impacto dos ataques de phishing executados através do seu sistema de e-mail?” Devido ao carácter teórico-prático desta investigação, foi decidido que o método de investigação seria o Hipotético-Dedutivo, e o método de procedimento seria o Estudo de Caso. Foi uma investigação exploratória, utilizando as técnicas de pesquisa bibliográfica e análise documental para executar uma revisão de literatura completa com o intuito de apoiar a investigação, como, também, fundamentar todo o trabalho de campo realizado. Para a realização deste estudo, foi necessário estudar a temática Segurança da Informação, já que esta suporta a investigação. Para existir segurança da informação é necessário que as propriedades da segurança da informação se mantenham preservadas, isto é, a confidencialidade, a integridade e a disponibilidade. O trabalho de campo consistiu em duas partes, a construção dos questionários e da apresentação de sensibilização e a sua aplicação e avaliação (outputs da investigação). Estes produtos foram usados na sessão de sensibilização através da aplicação do questionário de aferição seguido da apresentação de sensibilização, e terminando com o questionário de validação (processo de awareness). Conseguiu-se, após a sensibilização, através do processo de awareness, que os elementos identificassem com maior rigor os ataques de phishing. Para isso utilizou-se, na sensibilização, o método de ensino ativo, que incorpora boas práticas para a construção de produtos de sensibilização, utilizando os estilos de aprendizagem auditivo, mecânico e visual, que permite alterar comportamentos.

This research work has the title “Processo de Awareness dos Utilizadores nas Redes Militares”, and the objective is to "identify the most efficient and effective way to make a design of an awareness process to raise awareness to phishing attacks, among users of the Army e-mail system "which is the goal of this research. For this reason, at the beginning, we selected specific objectives that refer to this major objective. We decided that we needed to know the main behavioral theories that influence the success of phishing attacks in order to understand and combat them. It was also necessary to know the main teaching methods of attitudes, since it was necessary for the teaching of users. It has also necessary to define the means to perform an awareness session. Finally, it was necessary to have an awareness process, so we needed some assessment criteria to validate the research. To answer these four specific objectives and answer the major goal of the research, we created the central question of the work that is "How to make the design of an awareness process for the Army to reduce the impact of phishing attacks that run through the system of e-mail?" Due to the theoretical and practical character of this investigation, it was soon decided that the method of investigation would be the Hypothetical-Deductive and the procedure method was the Case-Study. It was an exploratory research, using the search of literature and analysis of documents to create a literature review that would support the research, as well to support throughout the fieldwork. For this study, it was necessary to study the thematic of information security since it supports all the research. To have information security it is necessary that the properties of information remain preserved and they are confidentiality, integrity and availability. The field work consisted in two phases, the construction of the questionnaires and of the awareness presentation and their implementation and evaluation (the research outputs). These products were used in the awareness session by applying the assessment questionnaire followed by awareness presentation, and ending with the validation questionnaire (awareness process). We succeeded, through the awareness process, on a more accurately identification of the phishing attacks by the cases studies. For this, it was used in the awareness process, active teaching method, which incorporates best practices for building products of awareness, using the styles of auditory learning, mechanical learning and visual learning, allowing the change of behaviors.