Como todos nós sabemos, por mais que os investimentos em segurança da informação tenham saltado de forma vertiginosa ao longo dos últimos anos, a conscientização e a gestão do risco humano ainda não são uma prioridade para uma grande quantidade de empresas. Trata-se de uma postura difícil de entender, especialmente se levarmos em conta a quantidade de frameworks, guias e até legislações vigentes que recomendam — ou até exigem — um programa consistente de human risk management.
De qualquer forma, a verdade é uma só: olhando de maneira holística, enxergamos companhias investindo no fator humano em diferentes níveis. Algumas oferecem educação contínua, enquanto outras se limitam a ações pontuais (geralmente em periodicidade anual) apenas para garantir compliance com as normas citadas. Isso significa que existem diversos níveis de programas de conscientização em segurança da informação. A pergunta é: há como mensurá-los? E a resposta é: sim!
O próprio mercado elegeu, como referência oficial, o Modelo de Maturidade de Conscientização em Segurança do SANS Institute, empresa privada norte-americana especializada em oferecer materiais, cursos e certificações nessa área. O modelo foi criado em 2011 com a ajuda de centenas de security awareness officers (SAO) ao redor do mundo e, rapidamente, se tornou a ferramenta mais utilizada para identificar e traçar rotas até o “puro creme do milho verde” quando o assunto é conscientização.
Extremamente simples e amigável, o Modelo SANS facilita as coisas ao separar a maturidade dos programas de conscientização em apenas cinco níveis. Vamos entender cada um deles em forma ascendente.
1) Não-existente
Bom, o título já diz tudo: neste nível de maturidade, a organização não possui quaisquer ações educacionais ou de gestão do risco humano. Os colaboradores possuem pouco ou nulo conhecimento sobre as ameaças à informação em seu cotidiano e trabalham ignorantes ao fato de que existem riscos cibernéticos e também físicos. Por conta disso, a empresa está altamente suscetível a sofrer incidentes causados pelo despreparo e negligência de seu próprio quadro de funcionários.
De acordo com o SANS 2023 Security Awareness Report - Managing Human Risk, mais recente edição do relatório anual do instituto, cerca de 90 dos mais de 2 mil entrevistados no estudo afirmaram que a sua empresa ainda está neste nível de maturidade, sendo que a esmagadora maioria (14%) estão localizadas aqui na América Latina.
2) Focado em Compliance
No segundo nível de maturidade, a companhia em questão oferece o mínimo necessário em questão de treinamento e gestão do risco mínimo. O objetivo aqui não é efetivamente oferecer conhecimento aos colaboradores, mas sim cumprir requisitos de certas normas regulatórias (especialmente as específicas de determinados nichos, como as do setor bancário). Por isso, os programas costumam ser perigosamente rasos, com ações pontuais e que não colaboram para a correta compreensão dos colaboradores sobre os riscos.
Cerca de 330 empresas estão neste nível, aponta o relatório da SANS. Desta vez, porém, os latino-americanos não saem na frente: o problema é maior na região Ásia-Pacífico (26%) e Europa, Oriente Médio e África (23%).
3) Promoção de Conscientização e Mudança Comportamental
Este é o nível mínimo ideal que todos devem almejar. Aqui, já temos um programa consistente, que se preocupa em levantar tópicos relevantes para criar um impacto educacional nos colaboradores e torná-los parte da estratégia de segurança da empresa. As ações são contínuas e periodicamente reforçadas e atualizadas, garantindo um engajamento satisfatório e encorajando uma mudança comportamental. Como resultado, as equipes auxiliam na detecção e resposta às ameaças.
Felizmente, no relatório de 2023, 750 das empresas entrevistadas afirmaram que já estão neste nível; uma boa notícia se compararmos com os levantamentos anteriores. A maior parte delas (43%) não teve sua região identificada; em segundo lugar, ficam as corporações da Europa, Oriente Médio e África.
4) Sustentação a Longo Prazo e Mudança Cultural
Se você chegou até aqui, parabéns! Seu programa possui processos bem-estruturados, recursos de qualidade e uma liderança que, juntos, garantirão um programa continuamente atualizado que promoverá uma cultura de segurança dentro da empresa.
Nesta etapa de maturidade, a gestão e a educação do risco humano não são apenas ações segregadas; elas fazem parte da cultura organizacional como um todo e todo mundo (incluindo os c-levels) estão cientes de sua importância. Os colaboradores já aplicam seus conhecimentos na vida pessoal e possuem uma percepção afiadíssima sobre segurança da informação.
Cerca de 380 entrevistados garantem ter atingido este nível; novamente, a maioria (26%) não teve sua região identificada. Ficam em segundo (21%) e terceiro lugar (20%) as regiões da Europa, Oriente Médio e África e da América Latina, respectivamente.
5) Framework de Métricas
Por fim, mas não menos importante, programas neste último nível apresentam um framework de métricas alinhado com as missões da organização. Esse framework é capaz de mensurar detalhadamente os impactos das ações de conscientização e acompanhar o progresso dos colaboradores. Isso automaticamente torna o programa ainda mais eficaz, já que ele é atualizado de acordo com as percepções de áreas mais necessitadas para garantir o melhor Retorno Sobre Investimento (ROI).
Cerca de 130 empresas entrevistadas conseguiram atingir este “nirvana”, sendo que, mais uma vez, a maioria (8%) não revelou sua localização. APAC, EMEA e LATAM ficam praticamente empatadas, com 5%, 6% e 5%, respectivamente.
Como subir a maturidade do meu programa?
Caso você tenha identificado seu programa em um baixo nível de maturidade, não se desespere — ainda há tempo de corrigir esse problema, mas ele infelizmente não se resolverá do dia para a noite. É um esforço que exige tempo, dedicação e uma evolução constante. Contudo, com a ajuda das ferramentas e especialistas certos, o caminho se torna bem mais curto e agradável de se percorrer.
A Eskive, por exemplo, facilita o aumento da maturidade ao oferecer jornadas de aprendizado sempre atualizadas, conteúdos educacionais de alta qualidade e uma plataforma de human risk management orientada a dados para um acompanhamento adequado de métricas importantes. Converse com um de nossos especialistas e veja com seus próprios olhos.