Se você perguntar a qualquer especialista em segurança da informação o que causa a maioria dos incidentes, a resposta quase certamente será o fator humano. A maioria dos ataques às empresas é bem-sucedida devido à falta de atenção, ignorância e erros dos funcionários. Ao mesmo tempo, o fator humano é a ameaça mais difícil de eliminar, porque você não está lidando com sistemas de informação obedientes, mas com pessoas vivas que respiram.
Nossas dicas geralmente incluem a comunicação de algumas informações aos funcionários . Mas isso é mais fácil dizer do que fazer. Hoje, falaremos sobre como fazer com que os funcionários levem a segurança cibernética mais a sério e sigam os conselhos dos especialistas em segurança.
Por que os funcionários ignoram a segurança cibernética
O problema é que a segurança cibernética não é uma questão prioritária para a maioria dos funcionários da empresa. Eles têm seu próprio trabalho a fazer e podem simplesmente não ter tempo para o que consideram assuntos secundários. Portanto, é importante perceber e aceitar dois fatos.
Primeiro: para um funcionário típico, a segurança da informação é uma questão secundária. Portanto, não espere um e-mail sobre os perigos da reutilização de senhas para causar uma avalanche de alterações de senha, ou um memorando sobre o download de anexos duvidosos para interromper a prática.
Segundo: esteja ciente que os funcionários para quem a segurança cibernética não está em primeiro plano podem não (ou provavelmente não entenderão) do que você está falando. Para um profissional de segurança, frases como “ataque direcionado usando spear phishing” não contêm nenhuma informação complexa. Mas para o funcionário regular em vendas, contas ou logística, você pode muito bem estar falando Klingon.
Esses dois fatos juntos geralmente levam os especialistas em segurança da informação à conclusão de que a tarefa é insolúvel, então eles desistem e limitam-se a medidas de segurança relacionadas apenas a hardware e software. Mas é claro que isso não é apenas errado, mas perigoso. Surge a pergunta: como chegar aos funcionários?
Cibersegurança + comunicações = 
A boa notícia é que sua empresa provavelmente já possui todos os ingredientes para estabelecer boas comunicações sobre segurança da informação. Você provavelmente tem especialistas em segurança que entendem as ameaças e sabem como interrompê-las. E você provavelmente tem especialistas em comunicação – geralmente encontrados no RH ou, melhor ainda, no departamento de comunicação interna (se houver).
Esteja preparado, pois no começo não será fácil: tal é improvável que os especialistas sejam bem versados em segurança cibernética e provavelmente não estarão ansiosos para se aprofundar nos detalhes. Mas não desista: você precisa encontrar entre eles o candidato mais adequado para, por assim dizer, evangelismo.
O ideal é que seja uma pessoa que já tenha conhecimento técnico. Se não houver ninguém na empresa, tente contratar um novo funcionário que conheça a comunicação interna e tenha formação técnica. Essas pessoas são raras, mas você pode ter sorte.
O ingrediente essencial de todo o empreendimento é a confiança. Os caras de TI em geral, e os profissionais de segurança da informação em particular, são notoriamente maníacos por controle. Portanto, aqui eles terão que domar seus instintos e deixar que os especialistas em comunicação façam seu trabalho no que se refere à comunicação com os funcionários.
Por onde começar
O departamento de comunicação interna (se não existir, o RH) geralmente terá uma boa ideia de quais funcionários fazem o quê e como. Portanto, se você delinear a gama geral de ameaças de uma maneira que sua contraparte possa entender, ela poderá desenvolver a estratégia de comunicação apropriada – ou seja, determinar a quais riscos determinados departamentos estão expostos e o que explicar aos funcionários em casos específicos campos como prioridade.
Outra coisa útil que você e seu novo aliado podem fazer é criar um guia de segurança da informação fácil de ler para novos funcionários.
Não espere sucesso instantâneo. Superar a fase de incompreensão será um desafio. Eu recomendo ouvir esta palestra informativa do ex-chefe de Investigações e Inteligência Cibernética do NYPD, Nick Selby, sobre aumentar a conscientização sobre segurança cibernética entre os oficiais do NYPD (spoiler: não foi fácil). Vou compartilhar algumas de suas dicas sobre como organizar o processo:
-
- Mantenha a simplicidade . No coração da campanha do NYPD estavam a simplicidade e a especificidade, o que ajudou muito.
Capacite as pessoas. É importante ter uma comunicação bem oleada sobre questões de segurança na equipe e que os funcionários entendam quais ações devem ser tomadas em um caso particular. Isso é feito para que nosso vendedor mencionado acima ou outro funcionário regular saiba a quem recorrer com um e-mail suspeito, evitando assim uma invasão da empresa.
- Mostrar resultados. É uma boa ideia mostrar como trabalhar em conjunto produz um resultado positivo. Por exemplo, de tempos em tempos, você pode enviar por e-mail um memorando interno sobre ataques que foram evitados e recompensar os funcionários que ajudaram nisso.
Novamente, uma série de treinamentos interativos pode ser um bom ponto de partida para incutir nos funcionários a importância da segurança cibernética, dar-lhes conselhos e recomendações e aumentar a conscientização sobre os requisitos e restrições de segurança.
