Embora o risco humano ainda seja ignorado por muitas empresas, não podemos mentir: o mercado — falando a nível global — está repleto de soluções que prometem facilitar a tarefa de manter um programa de conscientização em segurança da informação. Com pouco esforço, é possível até mesmo encontrar recursos gratuitos, incluindo vídeos educacionais, pôsteres e outros conteúdos ditos “universais”. Mas será que conscientizar o fator humano é realmente tão simples assim?
Diferente do senso comum, o gerenciamento do risco humano não é um “set it and forget it” — ou seja, algo que possa ser configurado e esquecido sem quaisquer outros esforços. O mais importante que precisamos ter em mente é que, embora as ameaças cibernéticas e riscos à informação sejam comuns, há diferenças cruciais em cada setor comercial que podem regrar os seus objetivos e determinar o foco do programa de treinamento. É necessário ter isso em mente antes de optar por uma solução “encaixotada”.
Vejamos alguns exemplos: o setor agropecuário, por exemplo, possui algumas particularidades do segmento que diferem do bancário — altamente cobrado pelo Banco Central do Brasil (BCB) com uma série de regras para seu devido funcionamento. Como citamos anteriormente, embora as ameaças à informação sejam universais, cada empreendimento está mais suscetível a um tipo de ataque, além de possuir gaps específicos em sua infraestrutura tecnológica.
Indo além, uma análise de riscos também ajuda a nortear seu programa de conscientização. Todo e qualquer incidente sempre causará danos, mas qual tipo mais lhe afetará? Algum que ocasione um vazamento de dados? Aquele que paralisou suas operações de venda durante dias a fio? Ou um ransomware que sequestre dados críticos? É crucial ter em mente os cenários mais perigosos para focar os esforços de conscientização na detecção e evasão de ameaças que possam criá-los.
Em suma, as perguntas que devem ser feitas são:
Após ter esses pontos claros em sua cabeça, fica muito mais fácil montar uma estratégia assertiva de gestão do risco humano, observando comportamentos inadequados específicos às suas piores ameaças e ressaltando treinamentos para garantir o máximo de engajamento possível. Claro, isso também inclui simulações — se o seu maior medo é de uma invasão física por engenharia social, por exemplo, é justamente nesse ponto que o programa de conscientização deve focar.
Na metodologia Eskive, a educação dos colaboradores segue uma jornada elaborada por experientes consultores em security awareness; contudo, os materiais são constantemente atualizados para refletir as evoluções nas ameaças contra a informação e é possível determinar quais (e em qual ordem) serão disparados os treinamentos, por exemplo. Dessa forma, fica mais fácil moldar o programa de acordo com a necessidade, escolhendo motes de simulações de phishing que mais fazem sentido à sua realidade.
Tudo isso, claro, acompanhado de uma série de métricas que garantem uma visibilidade holística sobre evoluções — e eventuais declínios — na porcentagem de aproveitamento do material. Graças à nossa metodologia orientada a dados, torna-se possível escalar a responsabilidade para os departamentos internos mais problemáticos e/ou preocupantes, criando assim uma cultura de segurança verticalizada.