O Relatório Global de Cyber Security 2023 do Fórum Econômico Mundial destacou no início de janeiro, em Davos na Suíça, que uma cultura de Segurança Cibernética começa com a conscientização e esse tema deve envolver toda a organização. O conhecimento dos colaboradores sobre o impacto dos ataques cibernéticos nas empresas foi citado pelos líderes que participaram do relatório como a influência mais positiva na abordagem de resiliência cibernética para os próximos 12 meses.
O levantamento destaca que as capacidades cibernéticas de uma organização crescem a partir da compreensão de seus funcionários sobre os riscos cibernéticos e sua responsabilidade no auxílio da gestão desses riscos. Uma das estratégias usadas pelos líderes dentro dos Programas de Conscientização são as plataformas de Security Awareness Training (SAT), que auxiliam no entendimento dos colaboradores sobre Segurança da Informação e proteção de dados.
Mas sozinha, esse tipo de ferramenta não cumpre a função, exigindo dos gestores um complemento da estratégia com uso de plataformas de Business Intelligence, por exemplo. Em entrevista à Security Report, Vaine Luiz Barreira, Information Security Awareness Officer da Faurecia, uma empresa global que atua na fabricação de veículos, pontua como ter maior entendimento do comportamento dos colaboradores e quais seriam os melhores cruzamentos de dados para tomadas de decisão sobre o Programa de Conscientização de SI.
Security Report: O que falta nas plataformas de Security Awareness Training?
Vaine Luiz Barreira: Eu sinto muita falta de dashboards com dados sobre diversos aspectos, como: simulações de phishing, campanhas de conscientização e de treinamentos, e-mails suspeitos reportados, pontuação de risco humano e o cruzamento de tudo isso com dados de usuários, como tempo de empresa, país, site, departamento, função, etc. Mesmo informações básicas como a taxa de phishing dos colaboradores é muito “travada” nas plataformas, falta granularidade nas configurações.
Security Report: E quais seriam as vantagens em contar com uma ferramenta mais robusta?
Vaine Luiz Barreira: Isso permitiria uma visão mais holística de todo o Programa de Conscientização, permitindo ação mais focada. Por exemplo, numa campanha de reforço sobre phishing num site específico de um determinado país, onde usuários com menos de 6 meses de empresa não completaram o treinamento obrigatório de Segurança e a taxa de mensagens suspeitas reportadas é menor que a média do restante da empresa.
Eu trabalho em um ambiente de 150 mil usuários, com mais de 300 sites em mais de 40 países, então, monitorar tudo isso em tempo quase real é um grande desafio.
Security Report: E como ir além dessas ferramentas?
Vaine Luiz Barreira: Uma plataforma de Business Intelligence pode ajudar muito na criação de relatórios e dashboards para tomada de decisões sobre o Programa de Conscientização de Segurança da Informação.
Somando as informações das plataformas de SAT, mais os dados de comportamento dos usuários exportados das plataformas do SOC, é possível conhecer em detalhes aspectos do comportamento dos usuários que ajudam muito no direcionamento do Programa de Conscientização ao longo do ciclo anual.
Security Report: Ou seja, é um conjunto de forças. Mas qual seria o melhor caminho para essa estratégia funcionar bem?
Vaine Luiz Barreira: Tudo depende do tamanho da empresa e do orçamento disponível para o Programa de Conscientização. O mais importante é dar a devida atenção ao risco humano. Dá para fazer muita coisa interessante com ferramentas open source ou com baixo orçamento, mas quando você precisa de conteúdos de conscientização em mais de 20 idiomas diferentes por exemplo, as soluções globais atendem melhor neste sentido.
Ainda sonho um dia em participar do desenvolvimento de uma ferramenta SAT para tentar suprir as deficiências das soluções atuais.
Security Report: Mas é possível seguir com um bom Programa de Conscientização em SI sem contar com uma tecnologia SAT?
Vaine Luiz Barreira: Hoje, não diria que as ferramentas SAT são fundamentais para análise de dados, pois é possível exportar os dados para plataformas focadas em Business Intelligence. Mesmo porque as soluções SAT atuais ajudam pouco na tomada de decisões. Mas sem dúvidas, há muito para evoluir no sentido dessas tecnologias entregarem mais inteligência ao Programa de Conscientização ao invés de funcionarem apenas como ferramentas de operação.
Security Report: Security Awereness é um assunto que está na agenda dos CISOs esse ano?
Vaine Luiz Barreira: Deveria estar. Atualmente, 82% das violações de dados passam pelo fator humano, então, focar apenas em ferramentas e/ou em processos é uma estratégia equivocada.
Cada colaborador da empresa precisa ser visto como mais um sensor de Segurança, mas como ser humano sempre estará sujeito a falhas operacionais e mesmo “emocionais”. Por isso, o Programa de Conscientização deve ser contínuo e evoluir gradualmente para a Cultura de Segurança da empresa.
Um departamento estruturado de Conscientização de Segurança da Informação ainda é raro, mas com certeza o nível de maturidade de Segurança da Informação das empresas passa por essa área.
Security Report: E esse trabalho em equipe gera mais frutos para a resiliência cibernética, certo?
Vaine Luiz Barreira: Conscientização de Segurança da Informação não se limita a simulações de phishing e a treinamentos semestrais ou anuais. Vai muito além. Por exemplo, o time de conscientização trabalha com o Red Team para elaborar ataques de engenharia social e encontrar vulnerabilidades. Atua também com o Blue Team para analisar campanhas reais de phishing e elaborar materiais de conscientização mais focados nos ataques, além de propor melhorias nas ferramentas de defesa.
