A perda de dados é um dos maiores pesadelos de qualquer empresa. Em razão disso, muitos investimentos tecnológicos são realizados para minimizar essa possibilidade. No centro do problema, encontra-se a ação humana, que no modo geral, representa o elo mais fraco nas tentativas de combate na perda de informações.
Com a grande repercussão de casos de ciberataques, onde as empresas estão sendo invadidas por cibercriminosos que utilizam técnicas cada vez mais aprimoradas do que é conhecido como engenharia social, criar um plano de conscientização pode ser o começo do uso mais atento por parte dos usuários em uma empresa, trazendo um nível adequado de conhecimento sobre segurança, criando defesas contra ataques através desse tipo de abordagem.
Segundo pesquisa da Clearswift, empresa de Segurança da Informação sediada no Reino Unido, realizada em agosto deste ano (2019), somente no setor financeiro, 70% das empresas sofreram ataques de cibersegurança no último ano e desses incidentes, mais de 40% foi iniciado como resultado da desatenção de um dos colaboradores, que pode, por exemplo, ser alvo de phishing. Outras recorrências comuns envolvem o ataque de malware e vírus que partiu de um dispositivo externo ou o compartilhamento de arquivos de fontes duvidosas.
Embora possa causar inúmeros danos a uma organização, o phishing, estratégia utilizada pelos hackers, funciona de maneira muito simples: Elaborada a partir de técnicas de engenharia social, pode partir de um simples convite falso de amizade em uma rede social que normalmente contém todas as informações que um cibercriminoso precisa para iniciar o ataque.
Quando os usuários são ensinados a detectar sinais de phishing, proteger suas senhas pessoais, não compartilhar informações de propriedade da empresa, entre outras boas práticas, eles passam a atuar junto a equipe de TI para minimizar as ameaças.
Ter um bom plano de conscientização de segurança é importante para mitigar possíveis ataques e garantir que os usuários entendam os perigos que eles enfrentam. Treinar os usuários fornecerá as habilidades necessárias para que todos estejam alinhados e possam sinalizar comportamentos suspeitos.
Confira a seguir algumas das boas práticas para desenvolver um bom plano de conscientização:
- Criar uma Política de Segurança da Informação que estabelece uma diretriz da gestão para toda a organização e conscientizar constantemente os usuários sobre as políticas determinadas pela equipe de TI e a importância de cumprir cada uma delas;
- Simular ataques para preparar seus colaboradores para possíveis situações reais. Através das simulações, o colaborador desenvolve um senso crítico sobre a segurança da informação e identificação de falsos e-mails;
- Desenvolver uma cultura de segurança na qual a boa tomada de decisões e a aplicação das melhores práticas de segurança da informação se tornem atividades diárias. Por exemplo: desenvolvimento de um canal de comunicação com os colaboradores através de boletins informativos, dicas de como proteger senhas, política de mesa limpa, backup de dados, navegação segura e consciente na Internet, promoção de eventos e palestras de segurança da informação;
- Treinamento contínuo capaz de gerar mudança no comportamento do usuário, relembrando a importância da segurança da informação, exemplificando casos reais de forma simples e objetiva. Após isso, acompanhar os resultados das campanhas e treinamentos para analisar, identificar os riscos e melhorias no comportamento da empresa e das pessoas;
- Reportar casos ou atitudes suspeitas para a equipe de segurança da informação da empresa para que seja feito o registro, análise e tratativa do incidente e evitar a propagação de um possível ataque;
- Analisar a necessidade de contratar uma empresa especializada que tenha experiência e conhecimento das melhores práticas de mercado para realizar uma avaliação do ambiente, podendo encontrar vulnerabilidades e ameaças não visualizadas pelos profissionais internos.
O plano de conscientização estimula e motiva os funcionários treinados a se preocuparem com a segurança como um todo, e a se tornarem o elo mais forte no ciclo da cultura de segurança. Manter o assunto em alta destaca a importância e as consequências de não levar o tema a sério.
Portanto, a melhor de todas as soluções ainda é a prevenção. Iniciativas que treinam pessoas sobre conscientização de segurança da informação, junto a investimentos em tecnologia, costumam ser as mais eficazes.
E a sua empresa, já está trabalhando em um plano de conscientização em segurança da informação?
*Cristiane Perin é gerente de projetos da NetSecurity, empresa especializada em serviços gerenciados de Segurança da Informação.