Para elevar a cultura de Segurança da Informação dentro da organização, campanhas e treinamento são pontos essenciais, especialmente quando ataques cibernéticos e golpes através de Phishing seguem em alta. O assunto foi destaque em um dos painéis promovidos durante a edição nacional do Congresso Security Leaders em São Paulo.
Ticiano Benetti, CISO na Natura &Co, comenta que o comportamento do usuário não é um ponto de atenção para o CISO, exigindo atenção nos programas de conscientização, sendo um processo de comunicação e de aprendizado. Para ele, transformar um comportamento por meio dos ensinamentos e melhores práticas tem sido iniciativas diferenciadas na jornada de cultura e educação sobre Cibersegurança. Ticiano aproveitou a abertura do painel para questionar um dos participantes presentes em relação à prática comum do mercado de se comunicar com o usuário usando e-mail. “Mas será que essas pessoas conseguem dar conta das suas caixas e principalmente desses conteúdos de conscientização?”, questiona.
Para Fabio Morgado, Gerente de Segurança da Informação no Banco BV, o e-mail se torna algo complexo a partir do momento que o colaborador tem um alto volume de mensagens a serem lidas. Para ele, além da importância de elaborar um conteúdo de comunicação, é necessário entender também o meio que esse processo será abordado com o cliente da organização e o usuário final.
“Então, se eventualmente eu estou em um contexto de uma organização que culturalmente já não ler os e-mails ou tem um alto volume de mensagem, temos que procurar outros meios para atingir nosso alvo. É necessário entender como funciona na prática esses elementos envolvendo o cliente e usuário final”, explica Morgado.
Na visão Afonso Coelho, CISO na Prumo Engenharia, hoje, o e-mail não é algo muito eficaz, já que a forma como é levada a informação ao usuário não é efetiva. Segundo Coelho, o colaborador entende que é apenas mais uma regra por conformidade que ele tem que seguir. “Além disso, existe a questão do Phishing que atinge muitas pessoas através por e-mail. Logo, é preciso avaliar o que realmente é eficaz”, pontua executivo.
De acordo com o Director, Technical Solutions e Engineering para Latam na Tanium, Felipe Nascimento, é necessário pensar no chão de fábrica, ou seja, aquele colaborador que não tem e-mail como na área de saúde, envolvendo enfermeiras que estão trabalhando no dia a dia atendendo seus pacientes. “Esse profissional vai abrir o e-mail uma vez por mês para resetar uma senha que expirou, então, eu concordo que não é efetivo esse modelo, é mais um caminho para você conseguir alcançar parte da sua população corporativa. É necessário entender seu próprio público interno e para enfim traçar o melhor modelo”, destaca Nascimento.
O CISO na Natura &Co traz outro ponto sobre essa questão, mas agora envolvendo o WhatsApp. Na visão do executivo, é nítido uma evolução em como as pessoas se comunicam, apesar de alguns preferirem outros meios que não sejam os tecnológicos. “Mas será que o WhatsApp não é uma boa ideia para fazer campanhas de conscientização, além de ser uma alternativa rápida de se comunicar com todos”, observa o executivo.
Leonardo Ovídio, que assumiu recentemente a posição de CISO na Brookfield Energia Renovavel, enfatiza que antes de qualquer medida é fundamental entender a própria cultura interna da empresa, caso contrário, não será necessário atingir o objetivo. Ele pontua ainda, que por mais que o WhatsApp tenha uma grande popularidade, algumas organizações proíbem o uso do aplicativo, deixando claro que nesse sentido, qualquer medida adotada não terá efeito.
“Tem muitas empresas que trabalham com teams ou zoom, então acho muito importante a gente poder entender a empresa nesse sentido, como ela funciona para estabelecer um plano baseado na cultura interna. Nós da Brookfield continuamos usando o e-mail para campanhas de conscientização, mas temos observado que a efetividade não é tão boa. Mas, quando vamos por outros meios fazendo um corpo a corpo, por exemplo, o resultado é melhor”, explica Ovídio.
Ovídio, acrescenta também que o WhatsApp ainda é algo muito polêmico, dependendo muito da forma como time de Segurança trata o aplicativo. “Depende do nível de maturidade da empresa também, tem muitos lugares que não usam o WhatsApp para nada corporativamente falando e eu fiquei bem surpreso quando eu comecei a entender algumas outras realidades não só do Brasil e temos que tomar muito cuidado para não virar uma certa dor de cabeça”, finaliza o CISO na Brookfield Energia Renovavel.
Afonso Coelho, CISO da Prumo Engenharia concedeu uma entrevista à TVSecurity, durante o Congresso Security Leaders e ainda sobre o tema do painel, compartilhou outros tópicos para melhorar os processos de conscientização dos funcionários. Para o líder de Segurança da Informação, a importância de se educar e, eventualmente, punir as práticas ruins está em garantir que boas práticas prosperem nos negócios. Veja a entrevista na íntegra.
Melissa Penteado, CEO e Shareholder/Founder da ProScore, também esteve no Security Leaders Nacional e chama atenção para a sinergia entre a Segurança e o corpo diretivo nos processos de conscientização e campanhas de Segurança junto aos funcionários. Como executiva, ela destacou que está sempre atenta às questões de Segurança, especialmente em um universo digital em que os dados e a identidade são os principais ativos a serem protegidos.
“Os cibercriminosos têm um oceano de oportunidades para atacar e quando eles descobrem uma brecha, não importa se irão ganhar um centavo ou um milhão, eles irão explorar uma vulnerabilidade justamente para aproveitar a oportunidade”, alerta a CEO. Ela também destaca que os líderes de negócio nem sempre estão atentos às melhore práticas da Segurança e por isso é importante que o CISO atue de forma proativa na proteção.
A CEO do Banco Útil, Marian Canteiro, também marcou presença na agenda e reforçou a necessidade de aproximar a administração da empresa aos líderes de cibersegurança para preservar os ativos e melhorar a reação diante de uma crise.
“Todos precisam estar envolvidos, incluindo o RH, pois é um departamento importante para trabalhar o treinamento dos colaboradores. Ou seja, Cibersegurança é um assunto que nunca pode ser uma preocupação só do CISO”, destaca a executiva durante sua palestra.
