Security Awareness – Sua principal linha de defesa

Se o peopleware é elemento crítico da Segurança da Informação, como preparar executivos e colaboradores para lidar com os riscos do mundo digital?

Recentemente o New York Times anunciou ter descoberto que havia sido invadido há quatro meses por hackers chineses. O objetivo era levantar que informações o jornal possuía sobre uma investigação de corrupção no governo chinês, e em especial, quais eram as fontes. O ataque começou com e-mails forjados direcionados para jornalistas específicos, com URLs que uma vez abertas baixavam malware para os equipamentos.

Em 2011, a RSA, empresa de segurança, também foi vítima de um ataque, o qual começou com e-mails direcionados (spear phishing). A partir daí, a invasão foi ampliada e gerou prejuízo de milhões de dólares para a empresa.

Nem empresas de segurança estão livres de ameaças

E como esquecer do Stuxnet, malware desenvolvido para danificar fisicamente sistemas SCADA, que foi injetado na rede do alvo via um pendrive abandonado em um estacionamento, o qual foi encontrado por um funcionário que prontamente o conectou a um PC corporativo.

O que estas situações tem em comum é que todas exploraram o ponto mais frágil de qualquer organização: as pessoas. Apenas os controles técnicos não são capazes de impedir perda de propriedade intelectual e prejuízos diversos causados por violações de segurança. Mas muitas organizações estão tão focadas na tecnologia que deixam de lado a conscientização dos seus colaboradores, que são a última linha de defesa.

Para isto que existem os treinamentos de Security Awareness: Para preparar os colaboradores de todos os níveis da organização a lidarem de forma mais segura com a informação, e assim contribuir para reforçar a eficácia de políticas, processos e sistemas já em uso.

Tipicamente realizado no formato de workshop, o treinamento de Security Awareness não transforma o colaborador em especialista de segurança, mas atua na mudança de comportamento dos usuários, de forma a faze-los entender os ganhos pessoais e coletivos de um comportamento seguro, e torna-los aliados da TI, facilitando a implementação de políticas de segurança e controles, e reduzindo os riscos de violações acidentais.

Conscientização de Segurança não termina com o treinamento

Segmentado entre os usuários comuns e executivos, os treinamentos de Security Awareness incluem tópicos como:

  • Benefícios da segurança para o indivíduo e a organização
  • Segurança para dispositivos móveis
  • Redes sociais, privacidade e confidencialidade
  • Comportamento seguro na internet e email
  • Mesa limpa / tela limpa
  • Política de segurança da organização
  • Avaliação e classificação dos ativos de informação
  • Métodos para decisão sobre investimentos em segurança
  • Elementos de uma Política de Segurança eficaz
  • Due Care / Due Diligence
  • Compliance

Estes treinamentos são normalmente complementados com ações adicionais tais como cartazes de divulgação interna, newsletters corporativas, ou mesmo campanha de Phishing simulada para avaliar a resposta dos colaboradores.

É possível realizar com recursos internos este treinamento? Lógico! Entretanto a opção por consultores externos se justifica no tempo de envolvimento para montagem do treinamento, conhecimento específico e experiência na condução, e credibilidade frente ao público alvo interno.

Torne a alta administração e os colaboradores em aliados na sua estratégia de segurança da informação, complementando as ações já em andamento com os treinamentos de Security Awareness.