Embora o risco humano ainda seja ignorado por muitas empresas, não podemos mentir: o mercado — falando a nível global — está repleto de soluções que prometem facilitar a tarefa de manter um programa de conscientização em segurança da informação. Com pouco esforço, é possível até mesmo encontrar recursos gratuitos, incluindo vídeos educacionais, pôsteres e outros conteúdos ditos “universais”. Mas será que conscientizar o fator humano é realmente tão simples assim?
Diferente do senso comum, o gerenciamento do risco humano não é um “set it and forget it” — ou seja, algo que possa ser configurado e esquecido sem quaisquer outros esforços. O mais importante que precisamos ter em mente é que, embora as ameaças cibernéticas e riscos à informação sejam comuns, há diferenças cruciais em cada setor comercial que podem regrar os seus objetivos e determinar o foco do programa de treinamento. É necessário ter isso em mente antes de optar por uma solução “encaixotada”.
Analisando suas necessidades
Vejamos alguns exemplos: o setor agropecuário, por exemplo, possui algumas particularidades do segmento que diferem do bancário — altamente cobrado pelo Banco Central do Brasil (BCB) com uma série de regras para seu devido funcionamento. Como citamos anteriormente, embora as ameaças à informação sejam universais, cada empreendimento está mais suscetível a um tipo de ataque, além de possuir gaps específicos em sua infraestrutura tecnológica.
Indo além, uma análise de riscos também ajuda a nortear seu programa de conscientização. Todo e qualquer incidente sempre causará danos, mas qual tipo mais lhe afetará? Algum que ocasione um vazamento de dados? Aquele que paralisou suas operações de venda durante dias a fio? Ou um ransomware que sequestre dados críticos? É crucial ter em mente os cenários mais perigosos para focar os esforços de conscientização na detecção e evasão de ameaças que possam criá-los.
Em suma, as perguntas que devem ser feitas são:
- Quais comportamentos do usuário final você deseja mudar?
- Quais são as principais ameaças que você quer se proteger?
- Quais métricas de redução de risco estão sendo levadas em conta?
- O que determinará o sucesso do programa de conscientização?
Após ter esses pontos claros em sua cabeça, fica muito mais fácil montar uma estratégia assertiva de gestão do risco humano, observando comportamentos inadequados específicos às suas piores ameaças e ressaltando treinamentos para garantir o máximo de engajamento possível. Claro, isso também inclui simulações — se o seu maior medo é de uma invasão física por engenharia social, por exemplo, é justamente nesse ponto que o programa de conscientização deve focar.
Seus desafios, nossas soluções
Na metodologia Eskive, a educação dos colaboradores segue uma jornada elaborada por experientes consultores em security awareness; contudo, os materiais são constantemente atualizados para refletir as evoluções nas ameaças contra a informação e é possível determinar quais (e em qual ordem) serão disparados os treinamentos, por exemplo. Dessa forma, fica mais fácil moldar o programa de acordo com a necessidade, escolhendo motes de simulações de phishing que mais fazem sentido à sua realidade.
Tudo isso, claro, acompanhado de uma série de métricas que garantem uma visibilidade holística sobre evoluções — e eventuais declínios — na porcentagem de aproveitamento do material. Graças à nossa metodologia orientada a dados, torna-se possível escalar a responsabilidade para os departamentos internos mais problemáticos e/ou preocupantes, criando assim uma cultura de segurança verticalizada.