Muitas vezes começa assim: a empresa tem um prolema de segurança, com certo sacrifício consegue fazer com que tudo volte ao normal, implementa várias travas, firewalls, compra um anti-vírus corporativo, consegue rasoalvelmente implantar uma camada de segurança sobre seus dados mais importantes…
E esquece de um dos pontos mais importantes… os colaboradores.
Naturalmente (eu acho) os colaboradores não são pessoal más. Provavelmente não estão pensando a todo momento em como roubar informações da companhia ou como causar um dano, mas são seres humanos, e seres humanos erram e esse erro pode ter sido intencionalmente provocado por um agente externo. Um hacker por exemplo.
Não vou entrar aqui no detalhe poético de que hacker é uma coisa, cracker é outra… provavelmente nesse site você jamais verá isso!
Treinamento é mesmo importante?
Você olha para a sua empresa, ela tem uma política de segurança, bem escrita, grande. Você gastou muito tempo desenvolvendo ela! Cobriu todos os pontos! Implementou regras para mudança de senhas, com alta complexidade! Tem um firewall de borda que te protege de um acesso indesejado e ainda bloqueia o acesso interno ao youtube, facebook, etc… Você senta em sua cadeira e bate até aquele orgulho 🙂 Aquele sentimento de tranquilidade. Está tudo bem!
Bom… sinto informar que…. não… não está nada bem! E pior! Você está com aquela falsa sensação de segurança!
Sua política de segurança não passa de um monte de papel (ou bytes organizados) se seus colaboradores não a conhecem e não a praticam. Pro exemplo, sua política contém procedimentos que instruem como e para quem reportar falhas de segurança em um sistema interno. Se seu colaborador não souber a quem reportar, ele pode avisar pessoas erradas, potencializando o risco.
Temos outro problema muito maior. A tal Engenharia Social.
Engenharia Social mira diretamente nas pessoas, nos colaboradores, e como toda forma de ataque, explora a pessoa mais despreparada. Entenda, a única maneira de evitar essa ameaça é o treinamento dos colaboradores para que identifiquem as estratégias de um ataque de engenharia social.
Quem deve ser treinado? Bom… todos! Incluindo o pessoal de tecnologia e segurança também!
Treinar o que?
Basicamente, se em sua empresa existe uma política de segurança bem elaborada, o treinamento/conscientização de segurança deve partir desse documento. Mas, se não tiver, o treinamento pode incluir:
- Uso de recursos tecnológicos
- Melhores práticas de segurança
- Técnicas de engenharia social
- Uso de passwords
É só treinar e pronto?
Definitivamente não!
Fazer um treinamento, uma palestra, é só o primeiro passo para um plano maior, um Plano de Conscientização de Segurança.
As pessoas devem ser lembradas frequentemente sobre os riscos a que estão expostas e você, como um bom profissional de segurança, tem a responsabilidade de lembra-los (evitando dores de cabeça maiores) .
Aqui estão algumas ações que podem ser incluídas no Plano:
- Palestras Mensais sobre Segurança
- Lembretes frequentes por e-mail
- Treinamentos anuais da Política de Segurança
- Tornar de fácil acesso o material dos treinamentos e as políticas
Por fim…
Por fim, observe os colaboradores.
Um plano de conscientização, e todos os seus treinamentos e ações, devem modificar o comportamento das pessoas fazendo que elas tomem atitudes mais coerentes e com segurança. Criar uma forma de medir essa “mudança comportamental” é o que vai te indicar qual caminho seguir em seu plano, além de justificar os gastos e investimentos com ele.
Sempre haverá um tema novo, uma forma nova de abordagem, uma invasão com vazamento de dados recente. Tudo pode ser usado com criatividade.