Você olha ao seu redor e tudo parece estar sendo feito da forma correta. Os treinamentos de conscientização em segurança da informação são contínuos, as simulações de ameaças são disparadas com uma cadência satisfatória e até mesmo algumas métricas convincentes estão sendo geradas para demonstrar ao board que o programa está dando certo. Sendo assim, porque ainda ocorrem incidentes causados pelo fator humano?
Antes de mais nada, é crucial esclarecer que, como todo profissional de TI sabe, nenhum sistema é 100% seguro. Da mesma forma, por maiores que sejam os investimentos e por mais eficiente que seja a sua estratégia de conscientização, sempre haverá uma margem mínima de falha no comportamento humano que pode sim resultar em algum impacto à segurança da informação — trata-se daquele “famoso” 1% que tanto ouvimos…
Porém, caso sua empresa esteja realmente disposta a ir além da simples conscientização e colocar em prática um plano holístico de gerenciamento de risco humano, existem algumas medidas complementares que podem ser adotadas para tornar as ações educacionais ainda mais eficientes. São coisas simples, mas que ajudarão a tornar suas visões de human risk management ainda mais maduras.
Pode parecer um tanto controverso, mas, da mesma forma que as equipes de segurança da informação realizam assessments para definir os graus de risco de seus ativos de hardware e software, o fator humano também pode — e deve — ser encarado como um ativo a ser gerenciado. Dessa forma, avaliar contra quais tipos de ameaças a equipe de colaboradores está mais vulnerável lhe dará o norte sobre onde focar seus esforços de conscientização.
De nada adianta repetir eternamente treinamentos e simulações contra phishing se, na verdade, o calcanhar de Aquiles do time é o gerenciamento de identidade, utilizando senhas fracas que podem ser facilmente adivinhadas via força bruta, por exemplo. Há uma base científica nisso: a pedagogia garante que é impossível ensinar a uma pessoa “tudo o que ela precisa saber” e ter a plena garantia de que todo esse conhecimento será retido.
Não é difícil encontrar os pontos que precisam de maior foco: basta analisar as documentações de incidentes antigos e auditorias passadas, detectando quais vetores de ataque foram eficazes em causar algum dano substancial. Repetir esse assessment periodicamente garante que o programa educacional estará sempre atualizado para dar prioridade às novas ameaças que podem usufruir do despreparo humano.
Já falamos sobre criar uma cultura de segurança verticalizada dentro das empresas em ocasiões anteriores, e voltamos a ressaltar aqui a importância dessa postura como aliada nos programas de conscientização e gerenciamento do risco humano. Existem diversas maneiras de fazer isso, sendo que é necessário desenvolver um plano de ação que reflita com a personalidade, missão e valores da organização.
Naturalmente, os colaboradores têm medo de “errar” e mais ainda de “não saber” — trata-se de uma armadilha psicológica comum sob a qual todos estamos sujeitos. Prover incentivos para uma maior interação e transparência entre as equipes e o time de segurança da informação pode gerar bons frutos, como recompensas para o funcionário que mais alertou sobre atividades suspeitas e assim por diante.
Claro que transformar a segurança da informação em um assunto comum e popular, sobre o qual todos os colaboradores irão conversar e interagir de maneira natural, é um esforço que leva tempo. Porém, as recompensas são animadoras, especialmente quando chegamos à terceira dica.
Com uma metodologia flexível, jornadas de aprendizagem holísticas e um sistema de gestão orientado a dados, que possibilita o acompanhamento detalhado de métricas de engajamento e comportamento inadequado, a Eskive é a plataforma de human risk management mais adequada para manter um programa de conscientização robusto.
Outra prática comum entre as empresas é investir em hard e soft skills de um colaborador, no intuito natural de torná-los ainda mais competentes em seu campo profissional e reter uma equipe formada por especialistas talentosos. Isso é feito com habilidades de codificação, aprimoramentos linguísticos (cursos de idiomas) e assim por diante. Porém, boas práticas de segurança da informação não costumam entrar nessa lista.
Ter um colaborador que claramente mantém uma postura inabalável de boa higiene cibernética deve ser enxergado como algo igualmente valioso. Lembre-se de, mais do que reconhecer essa postura, fazer o possível para retê-la, enxergando essa habilidade de identificar riscos e ajudar na mitigação de ameaças como um soft skills universal — que um colaborador novato possivelmente não terá.
Por último, mas não menos importante, seu programa de gerenciamento de risco humano jamais terá todo o efeito desejado caso você não monitore constantemente as evoluções (ou eventuais quedas) no desempenho dos colaboradores frente às ações de treinamento. E é por isso que a Eskive, plataforma líder em human risk management, provê análises e estatísticas preciosas para que qualquer executivo consiga avaliar o andamento de seu programa de conscientização com facilidade.
Com uma metodologia própria orientada a dados, a solução inclusive permite descobrir quais departamentos precisam de mais atenção e acompanhar o histórico de engajamento e comportamento inadequado de cada funcionário individualmente. Venha conversar com a nossa equipe e entenda como podemos impulsionar sua estratégia de proteção de dados!