Plano de conscientização em segurança da informação

Proteger informações dos clientes e dados sigilosos da organização é o desafio de todo gerente de TI. Contar com um plano de conscientização em segurança da informação pode ser a chave para garantir a segurança de estratégias e projetos internos da empresa.

Um bom plano de conscientização de segurança deve instruir os funcionários sobre políticas e procedimentos corporativos para trabalhar com tecnologia da informação. Os colaboradores também devem receber informações sobre quem contatar se descobrirem uma ameaça à segurança e aprenderem que os dados são um ativo corporativo valioso.

 

Afinal, o que é plano de conscientização em segurança da informação?

Um plano de conscientização de segurança é uma maneira de garantir que todos em sua empresa tenham um nível adequado de conhecimento sobre segurança, além de um senso apropriado de responsabilidade. O objetivo do plano de conscientização é proteger o ativo de informações da empresa para garantir a continuidade dos negócios, minimizar os danos e reduzir eventuais prejuízos financeiros.

Nove em cada dez ataques de malware são propagados por meio da interação humana. O treinamento dos usuários para que eles sejam conscientes da segurança os fornecerá as habilidades necessárias para sinalizar comportamentos suspeitos, como e-mails de phishing, por exemplo. Quando você garante que os usuários entendam os perigos que eles enfrentam, você pode reduzir muito os riscos que sua empresa enfrenta.

 

Por que investir em campanhas de conscientização de segurança, evitando ataques e protegendo os usuários?

As pessoas são o elo mais fraco nas tentativas de uma empresa de proteger seus ativos de informação — seja dentro de seus sistemas de TI ou documentos impressos. No entanto, na maioria das vezes, eles são o aspecto mais negligenciado do sistema de gestão de segurança de informações.

Você pode achar que seus dados estão seguros, mas se seus funcionários não tiverem o treinamento certo ou um entendimento prático de suas políticas e os riscos potenciais, todas as suas defesas poderão ser facilmente desviadas.

As empresas devem perceber que não podem proteger a confidencialidade, integridade e disponibilidade de seus ativos de informação sem garantir que todas as pessoas envolvidas no uso tenham o conhecimento adequado das ferramentas e técnicas necessárias para proteger os ativos de informação pelos quais são responsáveis.

O plano de conscientização estimula e motiva os funcionários treinados a se preocuparem com a segurança e continua lembrando-os dos impactos e consequências de não levar a segurança a sério.

Além disso, é provável que um programa de conscientização de segurança seja significativamente menos dispendioso do que outras medidas de segurança, aquisição de tecnologias específicas para proteção ou a contratação de uma empresa externa para conduzir treinamentos de segurança. Ou seja, o plano é o primeiro passo para proteger sua empresa.

No vídeo abaixo, vemos um exemplo de como é possível burlar a segurança da informação de empresas que trabalham com dados sigilosos utilizando apenas engenharia social:

 

Como colocar em prática um plano de conscientização de usuários entre todos da empresa?

Um dos maiores desafios que os gerentes de TI enfrentam na criação de um plano de conscientização de segurança é por onde começar. Como você planeja, desenvolve, implanta e mantém um plano de conscientização eficaz? Abaixo você encontrará vários recursos para ajudá-lo a planejar e manter um projeto que não seja apenas compatível com a política de segurança, mas envolva os funcionários e concentre-se na redução do risco, alterando seus comportamentos.

 

Faça parcerias com outros departamentos

Os planos de conscientização bem-sucedidos encontram uma maneira de envolver outros departamentos, como jurídico, recursos humanos, marketing, financeiro. Esses departamentos frequentemente têm interesses mútuos e podem ser receptivos a fornecer recursos adicionais.

Além disso, essas áreas podem também tornar obrigatórios os esforços de conscientização de segurança. Por exemplo, os departamentos jurídico exercem uma grande influência em toda a organização e podem tornar a conscientização de segurança um componente obrigatório de outros processos, como no treinamento de novos funcionários.

 

Faça treinamentos focados

Para colocar em prática um plano maduro de conscientização de segurança, é preciso identificar seus principais riscos humanos e focar neles. Geralmente, as empresas tentam eliminar todo o risco humano inserindo muitos tópicos no treinamento. Como resultado, os funcionários são bombardeados com inúmeros comportamentos aleatórios que devem seguir e muitas mensagens, resultando em sobrecarga cognitiva.

Muitas vezes, a parte mais difícil da consciência não é determinar o que treinar, mas determinar o que cortar e não incluir. Um passo fundamental é realizar uma avaliação de risco humano para sua empresa com orientações claras como bloquear o computador ao se ausentar, não fornecer logins, senhas e sempre verificar os rementes dos e-mails antes de responder ou acessar links, por exemplo.

 

Envolva todos os usuários

Certifique-se de que todos os usuários da empresa entendam sua importância, seja um novo membro da equipe de TI ou a recepcionista. Manter as redes e os dados seguros é responsabilidade de todos, não é mais apenas o dever da equipe ligada à tecnologia. Os usuários devem se sentir como se realmente fizessem parte do plano, com diálogo aberto e discussão por vários meios.

Fazer com que todos atuem no plano de conscientização de segurança levará a uma maior participação e, eventualmente, práticas de conscientização de segurança se tornarão uma segunda cultura para seus usuários.

 

Promova o plano de conscientização de várias maneiras

Dado que os ataques cibernéticos de hoje podem ter múltiplos vetores de ataque, os planos de conscientização de segurança também precisam ser tão abrangentes quanto possível. Não existe um plano de conscientização de segurança padrão e, portanto, os funcionários podem receber informações por meio de vários meios: simulações de phishing, newsfeeds, boletins informativos, blogs, jogos, etc.

 

Estabeleça métricas de acompanhamento

Dependendo da realidade da sua empresa, você deve tentar criar e projetar métricas para medir o sucesso do treinamento de conscientização. No entanto, nem sempre é possível ter métricas estatisticamente significativas devido ao tamanho de sua empresa. Por exemplo, a diferença de tentativas de phishing relatadas em uma empresa pequena pode ser difícil de observar.

Mas, se a métrica for definida corretamente, isso o ajudará a determinar se o treinamento realmente mudou positivamente o comportamento dos funcionários, e se sim, ele pode ser apresentado à alta administração para justificar o plano.

Lembre-se de que, para que a segurança seja eficaz, ela precisa ser responsabilidade de todos, por isso, promova a importância do plano de conscientização de segurança com antecedência e com frequência.

 

Como ir além do plano de conscientização?

Um bom plano de conscientização sobre segurança da informação é o primeiro passo para proteger a sua empresa. Para atingir uma maior maturidade em proteção é preciso investir em tecnologia, como um bom antispam corporativo, para evitar ataques dirigidos de forma automática, e até um bom secure web gateway, para garantir uma navegação mais segura.

Como desenvolvedores de tecnologias para segurança, temos o MailInspector e o Internet Secure Suite, duas soluções desenvolvidas no Brasil e que seguem os mais rigorosos padrões contra ataques cibernéticos.

Para saber mais dicas sobre plano de conscientização em segurança da informação leia também o artigo: Conheça 7 boas práticas de segurança da informação para empresas!