A crescente onda de ataques cibernéticos, o aumento da regulamentação em relação à privacidade de dados e a maior sensibilidade do mercado a violações de dados fazem com que as organizações busquem aumentar seus investimentos em Segurança da Informação. Esses investimentos envolvem desde a contratação de pessoas, aquisição de ferramentas, construção de processos e, até mesmo, mudanças no parque de ativos.
Contudo, muitas vezes, os investimentos não contemplam um aspecto fundamental que é a conscientização e treinamento de colaboradores, deixando de tratar o pilar pessoas de forma adequada, aumentado a exposição a ameaças que explorem o fator humano como vetor de ataque.
É importante destacar que tais iniciativas devem, sempre que possível, incluir a participação de parceiros de negócio que sejam responsáveis pelo tratamento de informações tidas como críticas pela companhia.
Como desenvolver treinamentos e campanhas de conscientização
Há inúmeras formas de iniciar um plano de treinamento e conscientização em Segurança da Informação, sendo fundamental compreender que se tratam de atividades cíclicas, uma vez que as ameaças estão em constante evolução e o processo de aprendizagem é contínuo.
A estratégia para definição do plano deve considerar pontos como a quantidade de usuários, segmento de atuação, maturidade da organização em Segurança da Informação, avaliar a utilização de ferramental dedicado a essas atividades e a contratação de parceiros.
O programa de treinamento e conscientização pode englobar itens como testes de phishing, informativos com dicas de segurança, cartilhas, vídeos, workshops (presenciais e remotos), testes para avaliar a assimilação do conteúdo disseminado, etc.
O planejamento do programa deve ser dimensionado de acordo com a complexidade operacional, exposição cibernética da companhia, disponibilidade de recursos e prévia experiência na aplicação de treinamentos. Subestimar a importância de conscientizar os colaboradores é uma forma de aumentar a chance de que os ataques de criminosos sejam bem sucedidos.
Acompanhando a evolução
Como toda atividade desenvolvida, é essencial que sejam estabelecidos indicadores para monitorar o progresso do programa de conscientização. São bons exemplos de indicadores:
- Percentual de colaboradores que clicaram ou repassaram informações confidenciais nos testes de phishing;
- Quantidade de colaboradores que reportaram suspeita de phishing;
- Aproveitamento nos questionários de avaliação após a aplicação de treinamentos;
- Quantitativo de colaboradores que concluíram todas as etapas das trilhas de conscientização.
O monitoramento dos indicadores deve englobar uma perspectiva de maturidade dos colaboradores antes e após o início das atividades de conscientização, para verificar a melhora do nível de maturidade da organização e se a evolução está alinhada com as expectativas definidas.
Conclusão
Tendo em vista a urgência que as organizações possuem em preparar e conscientizar seus usuários para efetivamente constituírem ambientes mais maduros e resilientes em relação à Segurança da Informação, protegendo o aspecto de maior vulnerabilidade que é o comportamento humano.
Para o desenvolvimento de treinamentos e campanhas de conscientização, a Tripla é o parceiro ideal, com um amplo portfólio de soluções e experiência de atuação nos mais diversos segmentos.
