Quando o assunto é conscientização em segurança da informação, é impressionante observar a heterogeneidade do nível de maturidade nas diferentes empresas a nível nacional. Algumas nem sequer investem em treinamentos, enquanto outras focam em ações pontuais apenas para garantir conformidade com legislações de sua área de atuação; são poucos os casos nos quais se observa uma educação consistente e contínua.
E, mesmo neste último cenário — que é o ideal, visto que o crime cibernético evolui diariamente e os materiais educacionais devem refletir tais atualizações —, há um senso errôneo generalizado de que não é necessário eleger um executivo para supervisionar um programa de security awareness. Pois saiba que, sim, é necessário. Tais profissionais existem e eles são conhecidos como Security Awareness Officer (SAO).
Devido à escassez desse perfil, os treinamentos costumam ficar a cargo ou de um representante da equipe técnica (TI ou a própria equipe de segurança cibernética) ou até mesmo do departamento de recursos humanos. Nenhuma das opções é a ideal, e, neste artigo, vamos lhe explicar o porquê.
Quem deve ser o SAO?
Conscientização e gestão do risco humano é uma arte muito mais complexa do que simplesmente disparar materiais didáticos e simulações de phishing de forma aleatória. Estamos falando de um processo educacional, que envolve transmitir conhecimento sobre um assunto de alta complexidade técnica para um público que, muitas vezes, terá dificuldades em compreender algo que é simples para quem tem background científico.
Há, na psicologia, um viés cognitivo conhecido como “Maldição do Conhecimento” — a grosso modo, o que ocorre é a incapacidade de um indivíduo familiarizado com um assunto de se colocar no lugar de um leigo, tornando-se incapaz de comunicar-se de maneira eficiente. Ao obtermos conhecimento técnico sobre algo, nosso subconsciente automaticamente imagina que o interlocutor possui o mesmo conhecimento que nós.
Eis o porquê bons executivos de segurança cibernética não são, necessariamente, bons supervisores de programas de conscientização. Para eles, conceitos e termos de cybersecurity são coisas tão familiares que fica difícil falar sobre o assunto sem entrar no tecniquês. Cria-se então um conflito de comunicação entre alguém que sabe demais e alguém que sabe de menos — ou, pior, ainda não sabe de nada!
Uma combinação importante de skills
Não se engane: isso não significa que o Security Awareness Officer é um leigo em assuntos técnicos de segurança da informação. O grande diferencial desse perfil é justamente a combinação de um background técnico (sólido o suficiente para compreender as ameaças, riscos, políticas e necessidades da estratégia de proteção da empresa) com excelente habilidades de comunicação.
Esse misto único de hard e soft skills permitem ao SAO agir como uma ponte entre o time de segurança, os outros c-levels e os colaboradores que estão sendo conscientizados através de um programa contínuo. Ele é capaz de compreender assuntos técnicos e “traduzi-los” de uma forma amigável para todos, identificando pontos de dificuldade na jornada de aprendizado e servindo como um ponto de apoio para toda a equipe.
Se precisássemos resumir de forma grosseira, este executivo nada mais é do que um professor. Todo químico é um professor de química, mas todo professor de química possui conhecimentos técnicos aprofundados nessa ciência — que, quando combinados com capacidades pedagógicas, formam um profissional capaz de instruir através de uma jornada de aprendizagem consistente.
Indo além do óbvio
Claro, o trabalho do Security Awareness Officer não termina aí. Como temos sempre o objetivo de aumentar o nível de maturidade de nossos programas de conscientização, é crucial que esse profissional faça uma análise minuciosa das métricas do treinamento, identificando pontos de atenção e escalando a responsabilidade pela proteção dos dados de maneira verticalizada dentro de uma empresa.
Isto eventualmente criará, como já citamos anteriormente neste blog, uma cultura corporativa de segurança e privacidade human-centric — ou seja, centrada nos seres humanos no lugar dos softwares de computador. Levando tudo isso em consideração, fica clara a criticidade de ter um executivo dedicado inteiramente às ações de security awareness e human risk management.
A solução certa para suas necessidades
Claro, também é indispensável que o Security Awareness Officer esteja munido de um ecossistema de soluções e ferramentas que apoiem o seu trabalho — e, nisto, a Eskive se posiciona como pioneira no mercado ao oferecer uma metodologia orientada a dados de conscientização e gestão do fator humano. Além de contar com jornadas de aprendizagem desenvolvidas por especialistas do setor, a plataforma facilita o acompanhamento de métricas-chave para garantir que seu programa seja um sucesso.
Vale lembrar que, recentemente, a Eskive foi agraciada com o quarto lugar no ranking Top 10 da 100 Open Startups 2023, dentro da categoria estreante “Cibersegurança e Identidade”.
Converse com a nossa equipe de consultores e saiba como podemos lhe ajudar a formar uma equipe de colaboradores preparada para lidar com as ameaças cibernéticas!
