A perda de dados é um dos maiores pesadelos de qualquer empresa. Em razão disso, muitos investimentos tecnológicos são realizados para minimizar essa possibilidade. No centro do problema, encontra-se a ação humana, que muitas vezes é explorada por ser vulnerável às diversas ameaças existentes.
Com a grande repercussão de casos de ciberataques, em que as empresas são invadidas por cibercriminosos que utilizam técnicas cada vez mais aprimoradas, do que é conhecido como engenharia social, criar um programa de conscientização em Segurança da Informação pode ser um bom começo para educar as pessoas e, assim, obter um nível adequado de defesa contra-ataques cibernéticos.
Conforme pesquisa realizada pela Secretaria de Segurança Pública (SSP), os crimes cibernéticos aumentaram 144% no estado de São Paulo em 2022, principalmente em instituições financeiras, sendo registrados mais de 5 mil casos até o mês de agosto. Segundo a SSP, em 2021, foram registrados 2.219 casos no mesmo período.
A maioria desses ataques foi resultado da desatenção das pessoas. O mais conhecido e utilizado entre eles é o phishing, que pode causar inúmeros danos a uma organização e consiste em um ataque que visa o roubo de informações confidenciais ou dinheiro, por meio de uma mensagem de e-mail com conteúdo malicioso. Essa estratégia dos cibercriminosos usa a manipulação psicológica para conseguir informações sigilosas, como credenciais de entrada em sistemas e até mesmo número de cartão de crédito e senhas, para que os criminosos executem transações eletrônicas em favor das quadrilhas. Eles também utilizam outras táticas, como envio de convites falsos de amizade em uma rede social, links suspeitos com promoções falsas, entre outros.
Quando as pessoas são ensinadas a detectar sinais de phishing ou qualquer outro tipo de ataque, a proteger suas senhas pessoais, a não compartilhar informações de propriedade da empresa e pessoais, entre outras boas práticas de segurança, elas passam a atuar junto com a equipe de Tecnologia da Informação para minimizar as ameaças cibernéticas.
Ter um bom programa de conscientização em Segurança da Informação é importante para mitigar possíveis ataques, uma vez que as pessoas passam a zelar melhor pelos seus dados e sua privacidade, pois compreendem que são agentes de segurança, as responsáveis por atitudes seguras e que contribuem para um espaço seguro para todos do seu convívio. Educar as pessoas fornece as habilidades necessárias para que todos estejam alinhados e possam identificar comportamentos suspeitos.
Confira algumas dicas para desenvolver um bom programa de conscientização:
- Colocar a pessoa no centro da questão. Os seres humanos são complexos, individualizados e influenciados pelo seu ambiente e suas emoções e entender qual melhor metodologia que ele compreende e assimila, é um bom começo;
- Desenvolver uma cultura positiva de segurança estimulando bons comportamentos (quebrar a cultura punitiva por más ações). Não impor segurança, trazer o engajamento para que o usuário reconheça essa responsabilidade;
- conquistá-lo e trazê-lo mais próximo para que ele entenda e internalize a informação; falar a mesma linguagem (com quem falar e como falar);
- Criar mensagens eficazes. Muitas campanhas de conscientização perdem força ao focar apenas em exemplos negativos. Ao invés de solicitar ao usuário para prestar atenção ao abrir um anexo de uma fonte desconhecida, mude para um tom de voz adequado como: “muitos colaboradores confirmam se o e-mail é válido antes de abrir anexos ou clicar em links suspeitos, será que você pode fazer o mesmo?”;
- Treinamento frequente e consistente capaz de gerar mudança no comportamento do usuário, relembrando a importância da segurança da informação, exemplificando casos reais de forma simples e objetiva. A única maneira de criar mudanças a longo prazo é fazer da conscientização parte do cotidiano com conteúdo simples e com discursos que trazem o problema para questões no dia a dia das pessoas;
- Ter um treinamento direcionado para integração dos novos colaboradores (onboarding). Fazer um nivelamento, informar que existe uma área de Segurança da Informação, o que deve ser feito quando identificar uma situação suspeita, apresentar o time, os contatos, como reportar ações de não conformidade, mensagens suspeitas, entre outros;
- Treinamento direcionado para executivos (C-Levels). Convencer a importância da conscientização, como estão sendo direcionados os investimentos alinhados com a estratégia e apetite de risco de segurança da empresa, como o programa está mudando o comportamento, atitude, percepções através de indicadores de resultados de simulações de phishing, diminuição de incidentes de segurança, entre outros;
- Segmentar o seu público. Não adianta informar o mesmo conteúdo de segurança para todos, é importante entender a linguagem e o público para que o tema seja interessante e você ganhe aliados dentro da empresa;
- Ter um canal de comunicação com os colaboradores através de boletins informativos, dicas de como proteger senhas, política de mesa limpa, backup de dados, navegação segura e consciente na internet, entre outros.
Um bom programa de conscientização em segurança da informação estimula e motiva os funcionários a se preocuparem com o tema e se tornarem o elo mais forte no ciclo da cultura de segurança, por essa razão, a melhor de todas as soluções ainda é a prevenção. Iniciativas que treinam e conscientizam as pessoas aliadas a investimentos em tecnologia, continuam a ser as mais eficazes.
E a sua organização? Já está trabalhando em um programa de conscientização em segurança da informação? Sua equipe está preparada para se proteger contra a perda de informações?