A pandemia de COVID-19 acelerou consideravelmente debates e preocupações relacionadas à segurança da informação nas empresas brasileiras. É fato que a maioria esmagadora foi pega de surpresa com o tema, e inclusive as que já se consideravam preparadas por terem soluções tecnológicas robustas, se viram em um cenário de controle limitado das ações de seus colaboradores devido à política de home office, onde essas soluções pouco possibilitavam uma proteção adequada da rotina diária de trabalho. Nesse ponto, o conhecido pilar “Pessoas” da tríade composta também por “Processos” e “Tecnologias” ficou em evidência, não só para as próprias organizações, mas também para cibercriminosos. Em pesquisa realizada pela Check Point, empresa fornecedora de produtos para a segurança da informação, o Brasil foi apontado como integrante do top 10 de ataques cibernéticos no último ano, e 90% destes aconteceram por e-mail, envolvendo técnicas como phishing e sobre os mais diversos assuntos que envolvem a pandemia, seja o próprio vírus ou a possível distribuição de auxílios financeiros e vacinas. Neste artigo, será abordado o pilar “Pessoas” de forma a destacar a importância de uma estruturação adequada para conscientizar os colaboradores que compõem uma organização.
Desafios iniciais
Uma cultura de segurança da informação deve ser desenvolvida de acordo com as necessidades e objetivos atuais e futuros de uma organização. É importante que haja um entendimento de que a segurança é um aliado fundamental para a rotina diária de trabalho, e que seu objetivo não é dificultar as operações, e sim torná-las mais seguras para o bem estar geral das informações organizacionais, setores e colaboradores. Quanto mais cedo essa cultura for implementada em uma organização (desde a sua criação por exemplo), mais natural ficará a compreensão de sua importância para todos os colaboradores e operações. É importante também reforçar que essa construção é gradual, não possui “receita pronta” e deve ser cuidadosamente pensada para que as operações não sejam prejudicadas.
A importância da conscientização
Um estudo realizado pela KnowBe4, empresa especializada em produtos para conscientização de segurança da informação, detalhado neste artigo, mostra que cerca de 37,9% dos colaboradores (não informados sobre a simulação) que não passaram por um treinamento adequado relacionado ao phishing tendem a clicar em links suspeitos recebidos. Por isso, a conscientização dos colaboradores em Segurança da Informação é um fator chave para uma construção sólida de uma cultura de segurança citada anteriormente, não só restrita ao phishing como também nos mais diversos tipos de ameaças possíveis. Ela contribui não só para o pilar “Pessoas”, mas também para os outros (“Processos” e “Tecnologia”) que compõem a tríade, pois uma vez que há um entendimento claro sobre conceitos como vulnerabilidades, ameaças entre outros, um efeito dominó pode ser causado em relação aos outros pilares. Um colaborador que entende esses conceitos, além de estar mais preparado para tomar decisões relacionadas ao recebimento de e-mails de phishing e outros ataques de engenharia social por exemplo, levará consigo essa preparação para realizar os processos (como impressão de documentos) e administrar as tecnologias (como compartilhamento de arquivos), caso façam parte de sua rotina diária de trabalho. Apesar de parecerem inofensivas, são muito comuns os relatos de situações em que informações confidenciais foram extraviadas por falta de cuidados com documentos deixados em impressoras ou permissões inadequadas em compartilhamentos de arquivos ou sistemas, que poderiam ser evitadas através da implementação de conceitos como políticas de mesa limpa – onde há uma necessidade de cuidado com documentos impressos em locais de fácil acesso por qualquer colaborador; e necessidade do saber (need-to-know), que tem como objetivo questionar se um indivíduo possui real necessidade de acesso a uma informação (confidencial por exemplo) para desempenhar suas atividades diárias. Os colaboradores treinados e conscientes se tornam grandes aliados dos responsáveis de segurança, pois entendem os impactos de possíveis incidentes de segurança e ajudam a disseminar a cultura esperada, associando os conceitos aprendidos a situações comuns do cotidiano.
Planejando a conscientização
É de extrema importância que a cultura, conscientização e treinamentos sobre segurança da informação passem por análises e planejamentos minuciosos para garantir que os objetivos organizacionais sejam atingidos através da criação de um programa de conscientização sólido e detalhado. É importante que exista um alinhamento desse programa com as políticas de segurança da informação, para tornar todo o processo mais efetivo e recorrente, já que em um cenário ideal, os treinamentos e campanhas, que fazem parte do programa de conscientização, devem ocorrer várias vezes ao ano, com os mais diversos temas inseridos em Segurança da Informação. Uma estruturação desses treinamentos e campanhas passa pela análise de lacunas de habilidades dos colaboradores em relação aos temas, para que com base nessa análise, os responsáveis possam direcionar os tópicos a serem abordados, estimular e auxiliar no desenvolvimento das habilidades necessárias e assim preencher a lacuna identificada em um primeiro momento. O programa de conscientização em segurança deve ser contínuo e amplamente divulgado, respaldado pela alta direção (que também deve segui-lo) e abordar temas que são comuns a vários setores da organização, além de considerar também microplanos especiais para as áreas consideradas críticas e/ou mais vulneráveis a possíveis ameaças, como departamento financeiro por exemplo. É importante que esse programa seja atualizado ao menos uma vez ao ano, para abordar novas técnicas e ameaças, além de validar se ainda está de acordo com os objetivos da organização para o cumprimento de suas operações. As simulações de situações como ataques ou possíveis incidentes também são importantes para que os colaboradores possam aplicar a teoria aprendida em suas atividades diárias, contribuindo para que os responsáveis tenham insumos para identificar possíveis novas lacunas de habilidades e realizar os devidos ajustes no programa.
Conclusão
O pilar “Pessoas” da tríade que também inclui “Processos” e “Tecnologia” muitas vezes é considerado menos relevante do que os outros dois, infelizmente devido à falsas promessas de segurança através de soluções milagrosas ou padronizadas que são oferecidas, mas como foi visto neste artigo, pesquisas mostram que os colaboradores têm papel fundamental em uma proteção efetiva das informações. É importante que haja uma compreensão do planejamento adequado para que a segurança da informação se torne aliada dos negócios, e por isso um colaborador consciente endossará essa aliança, uma vez que estará apto a debater sobre o tema e propagar seu conhecimento aos demais à sua volta.