Programa de Conscientização e a sua importância para a empresa

Frequentemente vemos nos noticiários as empresas, desde as pequenas, médias e grandes até as big techs, sofrerem algum tipo de ataque cibernético e daí nos vem a seguinte pergunta: como isso é possível?

É claro que a resposta não é tão simples e cada caso possui suas particularidades, no entanto, devemos ter um ponto de partida para implementar com sucesso um ambiente livre de, pelo menos, ataques e técnicas mais simples que podem ser facilmente reconhecidas por pessoas, independente da área em que atuam. É nisso que um Programa de Conscientização ajuda.

Um raciocínio básico no âmbito da Segurança da Informação em uma empresa é a metáfora com a corrente e os seus elos. A segurança da empresa é tão forte quanto o elo mais fraco da corrente e já há algum tempo percebe-se que o elo mais fraco são as pessoas, especificamente os usuários e colaboradores da empresa.

Para piorar a situação, é preocupante no cenário atual o crescimento do modelo de teletrabalho, onde permite-se que os trabalhadores possam exercer suas funções a partir de casa, muitas vezes sem nenhuma orientação correta ou até mesmo sem nenhum equipamento corporativo e, às vezes, sem um nem outro. Então como podemos esperar que o programa de segurança corporativo tenha sucesso se o principal aliado à empresa não foi devidamente conscientizado para esta realidade?

Programa de Conscientização e a sua importância para a empresa

Você provavelmente está pensando nos mais variados produtos e conceitos para impedir que um usuário ou colaborador consiga causar dano à infraestrutura tecnológica, mas uma das principais soluções e que afeta diretamente as pessoas é o Programa de Conscientização.

Se pararmos para pensar, sempre que queremos usar um novo produto ou aprender um novo conceito estudamo-lo e treinamo-lo, no entanto, quando o assunto são os funcionários e colaboradores, sempre temos uma expectativa irreal quanto ao que o utilizador realmente sabe. É por isso que um programa de segurança corporativo forte descreve em suas políticas que o Programa de Conscientização deve existir e a equipe responsável deve educar seu público-alvo regularmente, com métricas para avaliar a frequência e qualidade do que é feito. Boletins por e-mail, e-learning, self-assessment e até sessões ao vivo, tudo importa e nenhum departamento deve ser excluído, inclusive os prestadores de serviço e fornecedores, se for possível. 

seguranca-software-sistema-programacao-desenvolvimento

Planejamento é a chave para um Programa de Conscientização eficaz

Comece com temas simples que não darão nó na cabeça do seu público-alvo, como níveis de classificação dos dados, compartilhamento de arquivos, BYOD ou sobre a utilização correta da internet/Wi-Fi da empresa.

Priorize os assuntos mais “quentes” do momento que podem causar disrupção do seu negócio, além das tradicionais técnicas que visam as pessoas como phishing, shoulder surfing, spear-phishing, smishing, whaling, entre tantas outras. Com tempo e maturidade seu público estará preparado para assuntos um pouco mais complexos e que exigirão mais tempo para serem compreendidos completamente, como o Plano de Continuidade do Negócio, APT e vários outros, tornando-os aliados valiosos na defesa diária da sua empresa.

Para completar, avalie-os regularmente através de um método que tiver melhor aceitação do público acerca do tema que foi abordado, assim mantém-se um rastreio dos conteúdos que precisam ser melhorados, assuntos que precisam ser abordados de outra maneira e, é claro, temas que precisam ser revisitados. 

Se sua empresa já faz isso (ou algo parecido), procure identificar pontos de melhoria, seja no assunto, na abordagem ou até mesmo nos horários em que o conteúdo é entregue, visando sempre a maturidade da audiência, logo, cria-se assim um ciclo de aprendizagem moldado para as necessidades da empresa, requisitos do business ou algo além disso. 

Em tempos de pandemia nunca é tarde demais para mostrar aos tomadores de decisão (sim, estou a falar da Alta Administração) que um Programa de Conscientização é importante para a empresa, pois quando uma iniciativa possui um suporte top-down a aceitação por todos é natural.

Por fim, saiba que está no caminho certo e não desista, pois, a empreitada é árdua, mas os benefícios colhidos fazem a diferença. 

Patryck Dumit, CISSP

Mais artigos deste autor »

Formado em Segurança da Informação e com 10 anos de experiência, já atuei como pré-vendas, operação e implementação, consultoria e também ministrei cursos.

Estas são algumas das certificações que possuo:
(ISC)² CISSP
Exin Information Security Officer
Exin Information Security Management Professional based on ISO/IEC 27001
Exin Business Continuity Management Foundation
ISACA COBIT 5 Foundation
Certiprof Lead Cybersecurity Professional
Certiprof ISO/IEC 27001 Auditor
Microsoft Security, Compliance and Identity Fundamentals
CCNP Security
CCNA Security, CCDA, CCNA R&S
Cisco Certified System Instructor


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!