Conscientização em segurança: como fazer uma campanha eficaz
Preparar os colaboradores contra todos os tipos de ameaças ainda é um bicho de sete cabeças para os gestores. Aqui você verá algumas dicas simples que podem ajudar.
Falar sobre segurança da informação dentro de uma empresa não é uma tarefa simples. Inclusive, esse assunto ganhou uma importância gigantesca em um curto intervalo de tempo — até poucos anos atrás, crimes cibernéticos não representavam uma preocupação constante para os gestores, visto que as ameaças digitais não traziam riscos significativos.
Porém, os simples vírus que deixavam uma máquina lenta ou inoperante logo se transformaram em complexos códigos maliciosos que roubam e até mesmo sequestram dados sensíveis, causando prejuízos financeiros à corporação - basta vermos as graves consequências que os ataques em massa de ransomware trouxeram às empresas em diversos lugares do mundo.
O cibercrime evoluiu e está se aprimorando constantemente, adotando novas técnicas para invadir os ambientes corporativos. Campanhas de spear phishing são cada vez mais comuns, tais como os ransomwares e uma série de fraudes online. Se antes os contraventores eram internautas que escreviam malwares por pura diversão. Hoje, os inimigos são verdadeiras quadrilhas organizadas que trocam informações entre si em fóruns obscuros e compartilham de recursos para invadir redes privadas. Não seria exagero dizer que estamos vivendo em clima de guerra.
Nesse cenário, é cada vez mais comum vermos empresas apostando todo o seu budget em soluções de segurança endpoint, como programas de antivírus e softwares derivados. De fato, esses produtos são úteis e ajudam bastante na proteção do ambiente profissional; porém, sozinhos, eles não fazem milagres.
O mais importante é blindar o elo mais fraco da segurança, que é o usuário — o alvo dos ataques de engenharia social. E é daí que a surge a importância de contar com um programa de conscientização bem estruturado, garantindo que todos os seus colaboradores estejam preparados para enfrentar novas ameaças.
É aí que surge a necessidade de uma campanha de conscientização completa para desenhar e implementar uma estratégia de capacitação, monitorar os resultados, responder de forma estruturada e planejada aos incidentes e aumentar a maturidade ao longo do tempo.
Primeiros passos...
O primeiro passo para uma campanha bem-sucedida é elaborar sua política de segurança da informação — ou seja, o conjunto de regras, procedimentos e orientações que vão nortear todas as ações educacionais a serem desenvolvidas. Uma política interna deve, entre outras coisas, descrever as prioridades de proteção de dados, definir a classificação de confidencialidade para cada tipo de informação e orientar os funcionários a respeito de processos básicos de segurança (incluindo as melhores práticas para uso do e-mail, apps de comunicação e assim por diante).
Planeje suas ações
Antes do planejamento em si, é necessário saber qual o nível de conscientização que a sua empresa possui, para então implantar ações que façam sentido para o momento - criando materiais que realmente condizem com o nível de conhecimento e não algo que seja simples ou muito complexo. Saiba também reconhecer os diferentes perfis existentes na organização, não é preciso atingir todos de uma vez. Diferentes públicos precisam de diferentes mensagens e abordagens, escolha os mais críticos primeiro, depois vá aumentando o processo e aprendendo com ele. Em seguida, é preciso planejar a melhor forma de garantir que a campanha atinja seu público-alvo, definindo as mídias que serão utilizadas e a linguagem adotada para a comunicação interna.
Objetivos em curto, médio e longo prazo
O objetivo principal de uma campanha de conscientização é transformar os hábitos dos colaboradores, fazendo com que eles tomem decisões mais seguras na sua vida profissional e pessoal.
Mas, além disso, o profissional de SI deve levar em consideração as pessoas, a cultura vigente e o momento em que a empresa se encontra, para traçar objetivos e planos que consigam atingir o público de modo certeiro.
Você pode considerar também objetivos complementares aos da conscientização dos usuários, por exemplo:
Convencer um público específico sobre a importância do tema;
Diminuir conflitos com outros departamentos, como de TI e conformidade;
Mostrar a importância de uma área de pouca visibilidade.
Dito isso, é muito importante saber priorizar seus objetivos, de modo que os resultados não sejam diluídos e se tornem pouco relevantes.
Apoio de outras equipes
É importante contar, ainda, com a colaboração de todos os departamentos da empresa, principalmente de RH, Comunicação Interna e Compliance, que podem ter mais experiência em treinamentos e comunicação e podem ser de grande ajuda neste projeto. Porém, além disso, o ideal é procurar apoio de um parceiro externo que seja especializado no tema e possa prover materiais de alta qualidade.
Ações
Palestras com profissionais renomados, por exemplo, costumam ser eficazes e bem-aceitas por qualquer tipo de público. Cartazes, flyers, boletins e outros tipos de informativos, sejam eles impressos ou digitais, também são uma ótima pedida. O mais importante é garantir que a mensagem seja transmitida de um jeito fácil de entender — o uso de analogias e comparações é importante para mostrar que esse assunto faz parte do dia a dia das pessoas, que pode sim ser algo divertido e dinâmico. Além disso, os materiais devem ser criativos e atrativos e também por que não surpreender a equipe com canais e ações fora do comum?
Assuntos básicos
O ideal para uma campanha de conscientização é abordar os assuntos mais relevantes para a sua empresa, a personalização aqui é sempre um ponto positivo. Porém existem alguns assuntos que precisam ser tratados de alguma forma nas campanhas de qualquer empresa. Alguns deles são: senhas, conexões seguras, antivírus, firewall, atualizações de software, mensagens suspeitas, backup, mesa limpa, descarte seguro e computação móvel.
Tente encontrar uma maneira de incorporar todos estes assuntos para criar uma campanha completa.
Métricas
Após a implementação da campanha, é necessário aplicar análises que meçam a eficiência de todos esses materiais distribuídos aos colaboradores e até ver onde é possível melhorar para os próximos passos. Além disso, é preciso criar ações educativas a serem aplicadas periodicamente, principalmente em ambientes muito dinâmicos e com alta rotatividade, para que os usuários não se esqueçam do que foi aprendido e coloquem esses conhecimentos em prática de maneira regular.
LGPD E SEUS IMPACTOS
A Lei Geral de Proteção de Dados (LGPD) entrará em vigor ano que vem e já não se pode ignorá-la principalmente durante os próximos meses, pois a preparação deve começar agora.
Mas por que? Se uma organização se preocupar com o departamento de Segurança da Informação somente a partir de agosto de 2020 será tarde demais. O processo de conscientização é algo orgânico e, como toda aprendizagem, leva tempo para realmente se concretizar em hábitos seguros.
As chances de uma empresa com uma boa campanha de conscientização implantada sofrer com multas e advertências são muito menores. Não espere que uma multa ocorra ou que a divulgação de um vazamento de dados prejudique a imagem da sua corporação para a partir daí se preocupar com a Segurança da Informação.
Aprendendo todos os dias
Por fim, lembre-se que a conscientização deve estar constantemente presente na rotina dos profissionais — de nada adianta um treinamento momentâneo se os colaboradores eventualmente vão acabar se esquecendo daquilo que eles aprenderam (ou cairão em novas ameaças que até então eram desconhecidas).
Um programa eficaz deve ser contínuo, incentivando o respeito às políticas internas e criando um canal funcional para o reporte de incidentes de segurança. Afinal, temos diversos fatores que mudam ao longo do tempo como:
Rotatividade de pessoal
Evolução tecnológica permanente
Melhora da maturidade de SI pelo aumento e/ou aperfeiçoamento dos controles
Mudanças de paradigma como computação móvel ou em nuvem
Aumento da sofisticação e inventividade dos ataques
Bem-vindo à Conscientização em segurança da informação como processo permanente!