Conscientizar é o ato de se tornar consciente e que, dentre tantas definições, é a “capacidade de perceber a relação entre si e um ambiente”. Mesmo considerando que é um assunto amplamente pesquisado pela filosofia da mente na área de psicologia, neurologia e ciência cognitiva, é fácil observar que no contexto das organizações ainda existem fortes resistências na adoção continuada da prática de “conscientizar”. Isso porque limita-se, muitas vezes, a ações rasas ou pontuais, sem a real compreensão do benefício para o negócio a longo prazo. Afinal, conscientizar é o pilar do aculturamento, da transformação e internalização de um comportamento positivo e duradouro.
O cenário de preocupação não tem nada de novo, como indica uma recente pesquisa da Kaspersky Lab: seu resultado indica que o Brasil figura, desde 2015, no topo da lista de ataques “phishing” (técnica de invasão de contas de usuários para obter dados pessoais). Um alarmante dado, levando em conta que quase 30% dos ataques mundiais – só em 2016 – foram destinados aos brasileiros.
Diversas origens contribuem para incidentes de segurança, como indica a pesquisa da PWC: 21% estão relacionados à engenharia social como vetor, 54% são atribuídos aos parceiros de negócios, 28% a ex colaboradores, 23% a competidores e 29% a colaboradores ativos. No mundo, o comprometimento do e-mail corporativo está entre os impactos mais citados. Todos os ataques que foram divulgados pelas empresas (por força da exposição à imagem, determinação legal ou regulamentação) somam milhares de dólares.
Os índices apoiam o cenário de fragilidade e exposição que nossos colaboradores vivenciam dia após dia. Por isso, toda ação de conscientizar deve estar suportada por fatos e dados, por causa e efeito da atitude, aquela que pode afetar não apenas a organização como a si próprio. Vale lembrar que o usuário é um alvo constante dos atacantes, ficando exposto como presa pronta para ser atacada.
O resultado desse trabalho é o de um colaborador conscientizado com um comportamento positivo e hábitos seguros como: nunca compartilhar suas senhas, estar sempre atento aos e-mails recebidos e fontes e com rementes duvidosos, não procrastinar na hora de informar qualquer suspeita de violação à política de segurança, utilizar os recursos tecnológicos com responsabilidade, compreender que dispositivos móveis são alvo de ataque, além de jamais falar de assuntos confidenciais em público.
O novo hábito reflete atenção e prática das políticas da empresa, que são a base para organização dos processos e mitigação dos riscos. Educar passa a ter um papel chave e deve abranger todos os colaboradores – sejam eles usuários, administradores de tecnologia, executivos e parceiros de negócios – independentemente do tipo de organização. Todos estão suscetíveis a ataques. Para aplicar de forma consistente essa prática, é importante validar que a educação continuada demanda:
– Ter em pauta que precisará do apoio da alta direção – pesquisas já indicam que em empresas onde executivos possuem alto nível de engajamento com segurança da informação, os níveis de segurança e boas práticas são mais expressivos.
– Definir uma Política de Segurança da Informação, bem como a estratégia de sua comunicação. O reforço de mensagem é fundamental na internalização das regras.
– Avaliar periodicamente o nível de aderência da conscientização junto a todos os colaboradores, sendo um indicador imprescindível para suportar melhorias e investimentos.
Por fim: não desbrave este mar sozinho! Outras áreas da empresa podem ser grandes parceiras na dinâmica de potencializar a mudança gradual da cultura de segurança da informação. Use todas as armas a seu favor.
* Cristiano Pimenta é diretor de serviços da Arcon