Conscientização em Segurança da Informação: sem pessoas não há construção de políticas de segurança

Antes de ler este artigo, recomendamos ler Conscientização em Segurança da Informação: Os desafios de despertar a participação ativa na segurança de uma corporaçãoe Conscientização em Segurança da Informação é realmente necessária?

 

Em nosso artigo anterior sobre a Conscientização em Segurança vimos que, apesar de existirem muitos especialistas defendendo o fato de que as “pessoas não podem ser responsabilizadas pelos vazamentos de informação em ambientes corporativos”, vivemos uma realidade em que elas ainda são os principais alvos desse tipo de ataque.

 

Trata-se de uma realidade em que a pergunta já não pode mais ser “treinar ou não treinar os colaboradores para reconhecer e reagir a ameaças?”; segundo aponta um estudo realizado em 2014 pela Pricewaterhouse Coopers: “A maioria das indústrias já trazem como mandatória alguma forma de sensibilização de seus colaboradores para a segurança”

 

E essas empresas têm conseguido resultados: 42% dos entrevistados nesse survey afirmaram que treinamentos e conscientização tiveram um papel importante na dissuasão de ataques. Os resultados também refletem as questões financeiras das empresas

 

Entre as companhias pesquisadas, aquelas que não investiram em conscientização para a segurança da informação tiveram uma perda anual média de US$ 683 mil em ataques cibernéticos. Em comparação, aquelas que investiram nesse tipo de treinamento perderam, em média US$ 162 mil em ataques no mesmo período.

 

Ou seja, as questões agora, segundo o relatório, são: quanto treinamento é necessário e como esse treinamento deve ser aplicado (e essas dimensões fazem muita diferença, como veremos mais adiante).

 

A esse respeito, a consultoria britânica Capita e o governo do Reino Unido realizaram uma pesquisa conjunta sobre cibersegurança em empresas que concluiu: apesar dos investimentos em treinamento, ainda existem organizações que estão perdendo a batalha da proteção de suas informações sigilosas. Nesses casos, segundo os autores, o  problema está no fato que esses treinamentos estão falhando na criação de uma conscientização.

 

Pode parecer contraditório: pessoas treinadas para reconhecer ameaças, teoricamente deveriam estar conscientes da importância da segurança dos dados, mas essa aparente contradição é perfeitamente justificável; não com o fato de que conscientização em segurança é uma estratégia falha, mas com a percepção de que as estratégias de implantação de programas de conscientização variam muito de empresa para empresa, tanto em qualidade, quanto em eficácia.

 

Para deixar esse argumento mais claro, voltemos por um momento ao nosso primeiro texto sobre o assunto para resgatar o conceito de conscientização, conforme elaborado por Michael Santarcangelo:

“Conscientização é a percepção individual das consequências de uma ação, aliada à habilidade de avaliar sua intenção e seu impacto”

Ou seja, algo que se constrói à partir da realidade (e da percepção de realidade) individual – da empresa e do indivíduo. Ou, ainda, algo que será mais eficaz na medida em que estiver próximo da realidade das pessoas e das corporações de que  elas fazem parte.

 

É inegável que a conscientização dos colaboradores é indispensável em estratégias de segurança; mas ela depende de planejamento feito por especialistas capazes de criar modelos que façam sentido na realidade de cada empresa e que atinjam todos os níveis da organização – um levantamento produzido pelo renomado Instituto SANS mostra que boa parte das empresas prefere investir menos em treinamento, atingindo apenas um pequeno grupo de colaboradores, desconsiderando níveis mais altos na hierarquia.

 

O que garante a eficácia de uma estratégia de conscientização?

 

Michael Osterman, pesquisador em segurança e fundador da Osterman Research, durante uma entrevista na RSA Conference deste ano, afirmou que:

“Golpistas estão indo cada vez mais atrás das pessoas dispostas a clicar em e-mails ou mensagens contendo phishing, que abrem anexos sem pensar, que postem informações sobre a empresa no Facebook. Então eu penso que a chave é fazer com que as pessoas fiquem céticas. Elas precisam se perguntar: quem é essa pessoa que me mandou um e-mail?; quem está copiado nessa mensagem que foi mandada às 3 da manhã do domingo? E, no caso de dúvida, agir de acordo”.

 

E como fazer isso?

Em busca de um maior entendimento sobre o que determina a eficácia de um treinamento ou programa de conscientização, a empresa de segurança Wombat comparou as práticas usadas em diversas empresas, entrevistando mais de 200 profissionais. O resultado foi publicado no documento “The Habit of Highly Successful Security Awareness Programs: A Cross-Company Comparison” e, entre seus achados, estão alguns pontos compartilhados pelas estratégias que obtiveram mais sucesso

  • Apoio das chefias e diretorias
  • Parceria com outros departamentos
  • Ciclos de programas (e não treinamentos isolados)
  • Materiais produzidos e distribuídos com criatividade
  • Treinamentos que pedem a participação ativa das pessoas (e não apenas transmissão de conteúdo)

 

Ou seja, treinamentos e conscientização em segurança são eficazes na medida em que aliam criatividade na apresentação dos conteúdos aproximando-os da realidade diária dos participantes, além de buscar torná-los protagonistas do próprio aprendizado, e não meros espectadores.

 

El Pescador busca aliar todas essas características

A plataforma El Pescador busca aliar essas características. Em primeiro lugar, não existem templates convencionais nas campanhas do EP. Há uma preocupação em simular um ataque real de phishing, colocando o usuário diante de uma situação que em nada difere do que ele encontraria na sua rotina de trabalho.

 

Isso é educativo, na medida em que mostra ao usuário que existem ameaças reais no ambiente digital e que esses riscos podem comprometer informações – suas e da empresa. Além disso há a preocupação de demonstrar como reagir a possíveis ameaças, a quem reportar diante de mensagens fraudulentas, etc.

 

Outro diferencial das campanhas do El Pescador está no fato de não haver cobranças por número de usuários. Isso permite estender as campanhas de conscientização a todos os membros da organização, inclusive executivos de nível C.

Solicite agora uma campanha demonstrativa com El Pescador clicando aqui.
FONTES:
Trustwave

Computerworld

 

 


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*