Considerações importantes sobre os programas de conscientização em Segurança da Informação

Cibersegurança Notícias Opinião

Um dos maiores desafios da Segurança da Informação atualmente é aumentar a conscientização entre os usuários. Para isso é preciso atuar onde as tecnologias e os processos não alcançam: o comportamento das pessoas.

Mais de 90% dos ataques bem-sucedidos ocorrem através de pessoas, intencionalmente ou por abordagens de engenharia social, por isso muitas vezes as pessoas são vistas como o “elo” mais fraco na cadeia de segurança. Mas é exatamente por esse pensamento que a maioria dos programas de conscientização de segurança falham.

As pessoas precisam ser vistas como um elo forte da cadeia segurança, algo como um “firewall humano”. E para isso é preciso uma cultura positiva de segurança, ou seja, uma cultura baseada em premiações por bom comportamento, e não em punições por mal comportamento (cultura negativa). Pessoas com atitudes seguras tendem a ser replicadoras e a servir como modelo para as demais.

Programas bem-sucedidos de conscientização devem levar em consideração a cultura da empresa e o apetite ao risco. Não existe fórmula mágica ou bala de prata para endereçar todos os problemas de segurança. Cada empresa tem um desafio diferente.

Uma abordagem interessante centrada em pessoas é a do modelo dos três “R”s:

Reconhecimento – Reconheça que as pessoas são essenciais em seu programa de cibersegurança, e que o seu sucesso depende do engajamento delas. Não trate simplesmente as pessoas como parte do problema. Reconheça que elas podem ser uma parte importante e efetiva da solução.

Relevância – Escolha uma abordagem que envolva as pessoas. Não se trata apenas de conscientizar de que existem ameaças digitais para a empresa. As pessoas devem entender claramente como o comportamento seguro no mundo digital podem beneficiá-las em um nível pessoal e como podem aplicar as novas habilidades no trabalho e em casa.

Reforço – não espere que as pessoas se tornem especialistas imediatamente. A aprendizagem acontece ao longo do tempo e com a prática. Para alcançar a tão desejada mudança de comportamento, você precisa reforçar os tópicos principais por meio de atividades regulares de conscientização e treinamentos, e com abordagens lúdicas e diferentes.

Para justificar os gastos com os programas de conscientização você precisa avaliar o seu sucesso. Para isso, você deve ir além das simples simulações de phishing e entrar no mundo das métricas, que muitas vezes são negligenciadas. Como medimos o sucesso de um programa de conscientização?

Boas métricas normalmente levam em consideração:
 Medidas consistentes (sem critérios subjetivos);
 Baixo custo de aquisição (de preferência automatizado);
 São apresentadas como número cardinal ou porcentagem;
 São relevantes para as ações dos tomadores de decisão.

É importante medir:

Quem participa das ações – quantificar quantas pessoas fizeram os treinamentos, participaram dos workshops, assistiram os vídeos, leram as mensagens, responderam os questionários, etc. São métricas importantes para fins de conformidade, como para GDPR, PCI-DSS ou ISO 27.001.

Impacto- verificar a eficácia do programa, como a curva da linha do tempo de usuários que caíram nas campanhas de phishing, diminuição dos tickets de helpdesk, diminuição dos incidentes de segurança, diminuição dos relatos de vazamentos de dados, etc. São métricas mais trabalhosas, mas também as mais importantes.

Ao coletar métricas, você não apenas mede a eficácia do seu programa de conscientização, mas também oferece a oportunidade de melhoria contínua e de melhorar a segurança da empresa.

Selecionando métricas que vinculem os resultados dos programas de conscientização aos objetivos de negócios da empresa, irá ajudar a garantir e manter o apoio às iniciativas de formação contínua.

As necessidades de segurança mudam constantemente, assim como o conteúdo do seu programa conscientização. Ter insights com base em dados reais sobre a eficácia do seu programa, permitirá que você faça as mudanças necessárias para mitigar os riscos de segurança em toda a sua organização.

Vaine Luiz Barreira
Global Cybersecurity Awareness & Education Manager