Conscientização em Segurança da Informação: Os desafios de despertar a participação ativa na segurança de uma corporação

Security Awareness

Security Awareness

Se você acompanha este blog há algum tempo deve ter percebido como os casos de ciberataques, seguidos de vazamentos de informação corporativa, aumentaram exponencialmente em 2015. A tendência é que essa prática deve se manter em 2016.

 

A grande repercussão desses ataques tem despertado a atenção do público em geral para a questão da segurança da informação. Mais e mais empresas estão estabelecendo ou revendo suas estratégias e políticas para proteger seus bens mais valiosos: decisões estratégicas, dados dos seus funcionários, dados dos seus clientes e outras informações vitais.

 

Faça uma pesquisa sobre boas práticas de segurança da informação em empresas. É possível afirmar que uma boa parte delas – senão a maioria – irá considerar a conscientização de funcionários como um dos itens mais importantes. As pessoas são responsáveis pela informação e, como tal, devem estar “conscientes” do seu papel na proteção dessa informação.

 

A seguir vamos apresentar o conceito de Conscientização em Segurança da Informação, e seu papel na criação de uma cultura de segurança nas corporações.

 

Conceituando Conscientização

 

Você já se perguntou o que significa estar “consciente” de algo? Após estudar uma série de definições para esse conceito, e aplicá-los à Segurança da Informação, o consultor Michael Santarcangelo  definiu “Conscientização para a Segurança” como:

“A percepção individual das consequências de uma ação, aliada à habilidade de avaliar sua intenção e seu impacto”

Para ele, isso significa que a formação de uma consciência para a segurança da informação é um passo anterior aos treinamentos em segurança da informação e um estímulo à participação nesses treinamentos.

“ O foco dos programas de Conscientização para a Segurança é prover as pessoas de informação e experiências para desenvolver uma consciência própria”, ou seja, uma percepção individual.

Em outubro de 2003, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST, na sigla em inglês) publicou um documento chamado “Building an Information Technology Security Awareness and Training Program” em que busca definir as linhas gerais para a criação de programas de Conscientização para a Segurança em órgãos do governo. Da mesma forma que Santarcangelo, os autores entendem que a conscientização é um processo que precede os treinamentos.

“A razão da conscientização é focar atenção na segurança. Deve ajudar os indivíduos a reconhecer as preocupações da área de segurança da informação e responder corretamente”.

Diferentemente de um treinamento, em que o participante é convidado a ter um papel ativo, as atividades de conscientização servem para que a pessoa tenha contato com o tema da segurança e sua importância. São perenes, ou seja, são processos que devem ser constantemente avaliados e renovados.

O El Pescador busca ativamente criar essa consciência em seus programas de treinamento, expondo o colaborador a situações reais de ataque, de modo a fazê-lo perceber a importância de todos na segurança da empresa. Além disso, os conteúdos são constantemente revistos e atualizados de modo a refletir a realidade com a maior fidelidade possível.

 

Conscientização para a Segurança é um ciclo que deve envolver todos os participantes de uma organização

Security Awareness

“Uma corrente é tão forte quanto seu elo mais fraco”

A máxima, repetida à exaustão por profissionais de segurança, serve para ilustrar a importância da participação de todos os envolvidos em uma organização, quando o assunto é conscientização.

Segundo o documento do NIST:

Conscientização para a Segurança e treinamentos devem ser focados em toda a população da empresa […] deve começar mirando todos os níveis da organização, incluindo profissionais de nível sênior e gerentes executivos”.

Um artigo acadêmico que trata da segurança da informação na área da educação reforça essa ideia, e vai além ao propor que a criação de consciência para a segurança é um ciclo, algo que deve estar em constante renovação para responder aos novos desafios que enfrentamos cotidianamente.

O mundo da segurança, seja pensando em violência urbana ou em hackers, é peculiar. Ele é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção, que levam ao desenvolvimento de novas técnicas de ataques, de maneira que um ciclo é formado. Não é por acaso que é no elo mais fraco da corrente que os ataques acontecem.”

 

Críticas ao método

Criar consciência para a questão da segurança é uma forma de assegurar que os elementos da organização entendem seu papel na proteção das informações, e que compreendem a importância do constante preparo para enfrentar desafios.

Mas existem autores que questionam a eficácia dessa estratégia. Um deles aponta o aumento dos ataques cibernéticos como uma prova de que os treinamentos seriam ineficazes.

“Quando até altos executivos de empresas são alvo de ataques de phishing, isso não sugere que mesmo pessoas treinadas podem cair em golpes?” A questão é pertinente, e será o tema de outro artigo a ser publicado em breve.

 

Fontes:
wikipedia

NIST

NIST – Publicações

Security Catalyst

ProfissionaisTI

Seg Info


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*