A segurança da informação afeta empresas de todos os tamanhos e em todos os setores. Hoje é um tópico obrigatório da agenda no nível de diretoria, e que foi colocada no número quatro dos principais riscos globais pelo World Economic Forum em Davos agora em janeiro de 2019 (os três primeiros riscos estão relacionados ao clima).
Quando se trata de lidar com a proteção dos dados, todas as pessoas envolvidas com o negócio devem se preocupar. Afeta todas as equipes e departamentos de uma organização, tornando-se uma questão pessoal e operacional, e não simplesmente um problema técnico e de apenas um departamento (quase sempre em Tecnologia da Informação).
Hoje o comportamento humano oferece o maior risco em termos de segurança da informação. Segundo o relatório “2018 Data Breach Investigations Report – 11th edition” elaborado pela Verizon, ataques de phishing representam 98% dos incidentes sociais e 93% das violações de segurança das empresas, e o e-mail continua sendo o vetor mais comum, respondendo por 96% das ocorrências.
Phishing é a elaboração de uma mensagem que é enviada normalmente por e-mail, sms ou redes sociais, e é criada com o intuito de influenciar o destinatário a “morder o isco” por meio de um simples clique. Esse isco geralmente é um anexo mal-intencionado ou um link para uma página maliciosa que solicitará informações sensíveis ou tentará instalar um malware no equipamento.
Os cibercriminosos seguem o caminho de menor resistência. Por que os hackers dedicariam tempo e conhecimentos avançados no desenvolvimento de um programa ou algoritmo, para atacar uma defesa cibernética robusta e de difícil acesso, quando eles poderiam facilmente obter credenciais de login de um usuário final despreparado através de um simples ataque de phishing? Os atacantes exploram a vulnerabilidade humana através de técnicas de engenharia social, o que significa que as ações dos funcionários podem representar um grande risco para o negócio.
A combinação da informalização orientada ao utilizador final (como ações como o BYOD – Bring Your Own Device), o trabalho cada vez mais flexível, a falta de conhecimento sobre segurança da informação, e o acesso remoto a dados confidenciais, torna o ambiente fácil para os cibercriminosos localizarem as rotas dos dados dentro da empresa.
As ferramentas de segurança e os programas de conformidade de muitas organizações se concentram em proteger o perímetro, a gerenciar e proteger os endpoints (incluindo os servidores) e a corrigir vulnerabilidades nos sistemas.
São medidas importantes e que precisam continuar existindo e evoluindo, mas para elevar o nível de maturidade em segurança, as empresas precisam se concentrar em proteger os usuários finais, adotando estratégias de cultura de segurança da informação centrada nas pessoas. Essas estratégias deveriam utilizar tecnologias e programas de treinamentos contínuos de conscientização para proteger as pessoas nas organizações, e não apenas os sistemas e equipamentos que elas usam.
A principal razão de uma empresa ter cultura de segurança da informação é a mudança de comportamento dos seus funcionários. Iniciativas típicas como distribuir panfletos sobre segurança da informação, treinamentos ocasionais ou longos vídeos sobre o tema, são bem pouco eficientes. As pessoas até participam, mas não retêm informações suficientes e principalmente não mudam seus hábitos e comportamentos.
Os programas de treinamento tradicionais geralmente falham em alcançar a motivação e as mudanças de comportamento desejadas. A conscientização deve ser um esforço contínuo para educar colaboradores sobre políticas, ameaças atuais e como lidar com elas
Quando o assunto é conscientização em segurança da informação, a chave para o sucesso é criar uma cultura que motive os funcionários a manterem práticas seguras nas suas vidas cotidianas, fora do perímetro da empresa. Afinal de contas, o objetivo do treinamento de conscientização não é apenas oferecer conhecimento, mas modificar hábitos e formar novos padrões de comportamento seguro. O objetivo é transformar o treinamento de conscientização em algo pessoal e divertido, com dicas rápidas e jogos educativos que darão suporte aos conceitos de sensibilização.
O relatório “2018 Security Awareness Report” do SANS sobre boas práticas em programas de conscientização para empresas, define cinco estágios de maturidade para os programas:
- Não existente;
- Focado em atender necessidades de compliance;
- Promovem uma mudança de comportamento;
- Promovem uma mudança cultural na empresa;
- Programas com métricas bem definidas para medir sua eficiência.
Um programa de treinamento e conscientização na prática
Em linhas gerais, podemos separar um programa de treinamento e conscientização em segurança da informação nas seguintes fases:
- Identificação (ou mapeamento)
- Análises, Indicadores e Planejamento
- Treinamentos e Conscientização
Identificação
Como início de um programa de cultura em Segurança da Informação, é importante identificar constantemente quais os funcionários mais “vulneráveis” a abordagens de cibercriminosos. Isso pode ser realizado com simulações frequentes e alternadas dos ataques mais comuns de engenharia social, como:
- phishing do tipo “click link” (e-mail e sms);
- phishing do tipo “formulário” (e-mail e sms);
- phishing do tipo “páginas falsas” (e-mail e sms);
- phishing do tipo “relação de confiança” (e-mail e sms);
- phishing do tipo “arquivo anexo” (e-mail);
- spear phishing (phishing direcionado a um grupo);
- voice phishing ou vishing (abordagens por telefone);
- abordagens presenciais (tailgating);
- distribuição de pendrives contendo arquivos de risco potencial (baiting);
Com o tempo também é possível identificar os funcionários menos suscetíveis a esses tipos de abordagem, e utilizá-los como replicadores de bons hábitos em cibersegurança. Também é muito importante a existência de um canal onde se possa reportar atividades suspeitas.
Análises, indicadores e planejamento
Depois de identificar os “alvos” em potencial, é importante analisar os resultados das campanhas, definir quais as métricas e indicadores (KPIs) serão utilizados e planejar as ações de treinamento e conscientização.
Treinamento e conscientização
Aqui o importante é um conteúdo rico, dinâmico e que desperte o interesse e a atenção do usuário. Técnicas como gameficação e aprendizado de máquina (machine learning) sobre o comportamento dos usuários, podem tornar a ação mais fácil e permanente. Temas como navegação segura na Internet, senhas seguras, informações em redes sociais, segurança física, dispositivos móveis, acesso remoto seguro entre outros, podem ser tratados em pequenas doses semanais, aliadas a um ambiente divertido de competição.
Qual o retorno de investimento em um programa contínuo de treinamento e conscientização em segurança da informação?
Em termos financeiros, os ganhos de um programa contínuo de treinamento e conscientização não são medidos de maneira direta, mas sim com uma significativa redução nos riscos, já que podem evitar perda direta de produtividade e receita, perda de imagem e reputação, além de evitar sansões e multas legais com as novas leis e normas como GDPR, LGPD e Resolução 4.658 do Banco Central.
As empresas não podem esperar que a segurança da informação tenha uma “bala de prata” que garanta um bom nível de maturidade. Combinar a segurança baseada em tecnologias avançadas, processos bem definidos e a educação contínua dos funcionários, é essencial para minimizar os riscos humanos e garantir um bom nível de segurança da informação para a empresa.
