Home / Artigo / Construindo um programa corporativo de conscientização em Segurança da Informação efetivo

Construindo um programa corporativo de conscientização em Segurança da Informação efetivo

Uma sexta-feira para não esquecer!

Isabelle Araujo estava tranquila em seu escritório. O dia havia sido bastante agitado, mas agora que faltavam apenas poucos minutos para um relaxante final de semana, e que todos os relatórios financeiros haviam sido concluídos e enviados a tempo, a última coisa que ela esperava era um e-mail do sr. Evans, presidente da companhia.

A verdade é que, no período de 2 anos – desde quando havia assumido a chefia do departamento de contas a pagar – Isa tivera pouco contato com o Sr. Ludovico, que apesar de lhe tratar com toda cortesia, resumia-se a elogiar a efetividade com que ela conduzia o departamento. Entretanto a mensagem que ela havia recebido não foi uma surpresa completa, afinal era de conhecimento público que as negociações para aquisição de uma nova startup estavam bastante avançadas.

“Estimada Isa” dizia o e-mail do sr. Ludovico, “Preciso de sua ajuda em um assunto delicado que requer a máxima urgência. Acabamos de concluir a negociação para aquisição de mais uma startup. Entretanto, para garantirmos o negócio, é necessário realizar ainda hoje o pagamento de R$180,000.00 referente a primeira parcela. Peço que, por favor, efetue a transação o mais rapidamente possível e me confirme. Até que tudo tenha sido oficializado, conto com a sua usual discrição para tratar desse assunto com total confidencialidade. Seguem abaixo os dados para a transferência bancária.”

Somente após escutar o clique do mouse confirmando a transferência que Isabelle notou as pequenas inconsistências na mensagem. Sr. Ludovico era extremamente educado, mas a nunca havia tratado por Estimada Isa, e apesar de sua assinatura estar correta, havia algo de estranho no endereço de e-mail. Após alguns instantes de hesitação, uma rápida ligação confirmou que o tão esperado final de semana não seria nada relaxante. Sr. Ludovico não fazia a menor ideia do que era esse e-mail, e muito menos havia autorizado a transação.

O pequeno conto acima, que tem muito mais de fatos do que ficção, traz uma dura realidade: Cibercriminosos não hesitam em utilizar-se do fator humano para atingir seus objetivos. Muitas vezes não é necessário um malware avançado, não é necessário contornar um firewall de ultima geração, pois com apenas um toque de malícia e um pouco de entendimento sobre manipulação emocional, é perfeitamente possível aplicar um golpe bem-sucedido.

Existem muitos empregados que, como a nossa “Estimada Isa”, realizam um trabalho excepcional em suas tarefas diárias, mas se tornam uma presa fácil de quem domina a arte da engenharia social. É claro, boa parte dos ataques pode ser prevenido com os usuais controles tecnológicos e administrativos, mas será que isso é o suficiente? Infelizmente a resposta é não. As táticas empregadas por atacantes estão em constante evolução e, mais frequentemente do que gostamos de admitir, conseguem se evadir mesmo das mais avançadas tecnologias de proteção.

Neste cenário, onde um único ataque bem-sucedido pode causar um impacto inaceitável, mais do que nunca é essencial considerarmos que sua última linha de defesa está entre a cadeira e o teclado. E é aí que entram as ações de conscientização, afinal se ainda não é possível aplicar um patch e tornar humanos resilientes contra as mais recentes vulnerabilidades, com dedicação e esforço é perfeitamente viável educar as pessoas para que elas se tornem verdadeiros guardiões da cibersegurança.

Implantando um programa de conscientização de segurança em nível organizacional: a abordagem humanocêntrica!

 

Para se criar um bom programa de conscientização em segurança da informação, é primeiro necessário compreender que os desafios são bem diferentes do que ocorre quando, por exemplo, implantamos uma nova tecnologia de proteção como um firewall, um SIEM, ou mesmo usamos inteligência artificial para combater malwares avançados. Pessoas normalmente trabalham em suas zonas de conforto, o que é bem diferente de dizer que já não sofram uma forte pressão para executar suas atividades laborais de maneira rápida e efetiva.

A verdade é que, durante um dia típico de trabalho, um empregado que não esteja ligado diretamente ao time de segurança dificilmente estará pensando que pode ser o alvo do próximo ataque que vai expor os preciosos dados corporativos. A raiz disso é que – mesmo com o amadurecimento que temos visto nos últimos anos – segurança da informação ainda não é uma parte integral do dia-a-dia da maioria das pessoas, e muito menos da cultura corporativa. E é exatamente nisso que deve se focar nosso programa de conscientização.

Aqui estão algumas dicas que certamente irão ajudar seus esforços para garantir que o fator humano seja um forte aliado da defesa cibernética:

1 – Entenda o contexto corporativo:

Como regra geral, segurança funciona bem melhor de forma contextual, isso é, quando ela está alinhada com a realidade da organização. Existem inúmeros fatores que podem influenciar a forma como sua empresa lida com aspectos de segurança, desde o segmento em que ela opera, a cultura corporativa, normas e políticas, aspectos contratuais, leis.

Em seus primeiros passos, é sempre uma ótima estratégia tentar criar uma visão geral do contexto corporativo, incluindo fatores que possam servir de motivadores para o programa de conscientização como, por exemplo, a ocorrência de incidentes de segurança, novas exigências de clientes, ou o surgimento de novas regulamentações, como no caso da LGPD.

2 – Obtenha o apoio da alta direção:

Esse também é um ponto de partida bastante comum. De uma forma resumida, podemos dizer que dificilmente se consegue criar uma mudança significativa a nível organizacional, sem o apoio do nível executivo.

Se você seguiu o passo 1, e mapeou o contexto corporativo, é bem provável que já tenha conseguido identificar pelo menos uma pessoa dentre os executivos que esteja mais receptivo ao tema cibersegurança. Na verdade, com as novas legislações sobre proteção de dados pessoais, hoje em dia essa se tornou uma tarefa razoavelmente mais simples. É tudo uma questão de saber apresentar sua proposta para um programa de conscientização da maneira apropriada, ou seja, em termos de negócio. Procure fugir de uma abordagem muito técnica, e foque em como a organização pode ser impactada por um incidente severo, exemplos recentes não faltam!

3 – Entenda o nível de maturidade dos colaboradores:

Uma vez que você tenha obtido a benção da alta direção para seu programa de conscientização, é hora de tomar as primeiras ações práticas!

Um ponto essencial é entender o nível de maturidade sobre cibersegurança que seus colaboradores já possuem. É possível, por exemplo, selecionar uma amostra de pessoas e aplicar um teste cego, sem que nenhuma ação de conscientização tenha sido realizada. Apenas tenha o cuidado de garantir que os participantes do teste entendam que – por hora – não é esperado que eles já possuam conhecimentos avançados. A ideia é pura e simplesmente aferir o nível de maturidade geral.

4 – Defina objetivos de curto, médio e longo prazo:

Para garantir a efetividade do seu programa de conscientização é necessário ter objetivos claros e praticáveis. Não é realista esperar que em apenas algumas semanas seus empregados vão se tornar experts no assunto, pelo contrário, uma mudança real na cultura corporativa vai levar algum tempo para ocorrer.

Isso não quer dizer que você não possa conseguir uma melhoria a curto prazo. Por exemplo, com base nos resultados do teste cego, é possível definir assuntos específicos que devem ter prioridade, ou quais departamentos da empresa são mais susceptíveis a ataques. Isso vai permitir a criação de ações específicas, e usar quickwins como uma forma de dar momentum ao programa de conscientização.

5 – Criando as ações de conscientização:

Existem inúmeras possibilidades de ações que podem ser feitas em um programa de conscientização. As mais comuns incluem palestras, seminários, aulas presenciais ou usando ferramentas para educação online, mas você não precisa se limitar ao comum.

Uma boa opção é usar soluções que trazem as ações de conscientização e educação para um contexto real como, por exemplo, ferramentas de gamificação ou simulação de phishing. Se nossa “Estimada Isa” já possuísse experiencia em primeira mão com e-mails falsos, é bem mais provável que ela tivesse reconhecido o ataque.

Se possível, faça com que cada ação de conscientização seja customizada para o publico alvo específico. Algumas ferramentas de conscientização permitem que você crie kits de treinamentos, específicos para cargos ou áreas de negócio dentro da organização. Lembre-se: Quando a segurança é tratada de forma contextual, fica muito mais fácil garantir o alinhamento com a realidade da organização, e isso permite que ações de conscientização sejam absorvidas mais facilmente.

6 – Use a mensagem correta:

Em termos de conscientização, otimismo é bem mais poderoso do que fatos. Muitas campanhas de conscientização perdem força ao focar apenas em exemplos negativos. É claro que usar casos notórios como o ransomware WannaCry, demonstrando os impactos que um evento similar pode ter na sua empresa deve fazer parte da sua campanha, mas é preciso entender que o apelo do medo só funciona quando as pessoas já acreditam que a ameaça é real.

Outra maneira de criar mensagens eficazes, é através de técnicas de social proofing. Por exemplo, muitos hotéis tiveram bem mais sucesso em garantir seus hospedes usassem toalhas mais de uma vez quando pararam de simplesmente explicar isso como a atitude ecologicamente correta, e investiram em frases como “a maioria dos nossos hospedes reutiliza as toalhas, poupando energia e ajudando a proteger o meio ambiente. Será que você pode fazer o mesmo?”. Você pode tentar fazer algo parecido e ao invés criar uma mensagem pedindo para que um empregado preste atenção antes de abrir um anexo de uma fonte desconhecida, informar que “a maioria dos colaboradores da empresa confirma se o email é valido antes de abrir anexos ou clicar em links, Será que você pode fazer o mesmo?”.

7 – Defina métricas e faça medições:

Como dizia Druker, ‘aquilo que não pode ser medido, não pode ser melhorado’. Métricas de conscientização bem definidas são essenciais para entender se os objetivos do programa foram atingidos.

Suas métricas podem incluir pontos simples, como o percentual de colaboradores que participou de ações de conscientização, ou realizar um novo exame com a amostra de empregados que participou do teste cego e ver como eles se saem.

Dependendo das ferramentas de conscientização que você está usando, é possível ter uma visão mais detalhada. Por exemplo, ferramentas de conscientização sobre phishing usualmente permitem entender quais usuários ou mesmo departamentos estão mais vulneráveis.

De uma forma geral, a ideia é ter uma base para entender se seu programa de conscientização realmente atingiu os objetivos, ou se são necessárias mudanças, ou até mesmo ações complementares para garantir que colaboradores estejam conscientizados.

8 – Make it fun:

É bastante obvio que cibersegurança é um tema extremamente sério, o que não quer dizer que as suas ações de conscientização devam ser chatas.

Pessoas aprendem muito melhor quando estão relaxadas e são entretidas, por isso uma ideia interessante é incluir elementos lúdicos no seu programa de conscientização. Novamente, existem inúmeras opções a disposição: Desde apresentações teatrais bem-humoradas, quizzes, até competições amistosas entre equipes. Tudo é uma questão de lembrar que você quer apresentar cibersegurança de uma maneira positiva, e tornar os colaboradores parte desse contexto.

9 – Torne o aprendizado algo contínuo:

Conforme previamente mencionado, uma mudança significativa no nível de conscientização não vai acontecer do dia para noite. Dessa forma, conscientização de colaboradores contra ameaças de cibersegurança nunca deve ser tratado como um projeto (com princípio, meio e fim), e sim como um programa, com ciclos de melhoria contínua.

É claro que criar uma ‘semana da cibersegurança’ é uma ideia bem interessante, mas deixa seus esforços de conscientização concentrados em um curto período de tempo dificilmente vai trazer os melhores resultados.

Uma ótima abordagem é combinar eventos focados, com várias pequenas ações divididas ao longo do ano, assim você garante que os empregados terão contato constante com o tema, e estarão sempre atualizados.

Para concluir

Não é realista esperar que as pessoas mudem de atitude do dia para a noite, mesmo em um tema tão relevante quanto a proteção dos dados corporativos. Ações de conscientização devem ser contínuas, abordar temas relevantes, transmitir a mensagem correta e fazer com que as pessoas se sintam parte de um esforço maior.

Uma excelente ideia é focar nos aspectos positivos, demonstrar que a organização confia completamente na capacidade de seus colaboradores, e que está pronta a ajuda-los a se tornar resilientes conta as mais avançadas ameaças cibernéticas. Dessa forma, o tão criticado fator humano certamente vai deixar de ser uma vulnerabilidade, e se tornará uma de suas defesas mais efetivas.

Sobre Cláudio Dodt

mm
Evangelista em Segurança da Informação e Proteção de Dados, consultor, instrutor e palestrante, atua na área de tecnologia há mais de 15 anos, exercendo atividades como Analista de Suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Confira tambem

5 maneiras que sua empresa pode ser invadida e como se prevenir

Para começar essa leitura vale entender a definição de:  Violação dados ou data breach: ocorre quando uma organização sofre um incidente de segurança …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *