A importância da conscientização em Segurança da Informação

A crescente onda de ataques cibernéticos, o aumento da regulamentação em relação à privacidade de dados e a maior sensibilidade do mercado a violações de dados fazem com que as organizações busquem aumentar seus investimentos em Segurança da Informação. Esses investimentos envolvem desde a contratação de pessoas, aquisição de ferramentas, construção de processos e, até mesmo, mudanças no parque de ativos.

Contudo, muitas vezes, os investimentos não contemplam um aspecto fundamental que é a conscientização e treinamento de colaboradores, deixando de tratar o pilar pessoas de forma adequada, aumentado a exposição a ameaças que explorem o fator humano como vetor de ataque.

É importante destacar que tais iniciativas devem, sempre que possível, incluir a participação de parceiros de negócio que sejam responsáveis pelo tratamento de informações tidas como críticas pela companhia.

 Como desenvolver treinamentos e campanhas de conscientização 

Há inúmeras formas de iniciar um plano de treinamento e conscientização em Segurança da Informação, sendo fundamental compreender que se tratam de atividades cíclicas, uma vez que as ameaças estão em constante evolução e o processo de aprendizagem é contínuo.

A estratégia para definição do plano deve considerar pontos como a quantidade de usuários, segmento de atuação, maturidade da organização em Segurança da Informação, avaliar a utilização de ferramental dedicado a essas atividades e a contratação de parceiros.

O programa de treinamento e conscientização pode englobar itens como testes de phishing, informativos com dicas de segurança, cartilhas, vídeos, workshops (presenciais e remotos), testes para avaliar a assimilação do conteúdo disseminado, etc.

O planejamento do programa deve ser dimensionado de acordo com a complexidade operacional, exposição cibernética da companhia, disponibilidade de recursos e prévia experiência na aplicação de treinamentos. Subestimar a importância de conscientizar os colaboradores é uma forma de aumentar a chance de que os ataques de criminosos sejam bem sucedidos.

Acompanhando a evolução

Como toda atividade desenvolvida, é essencial que sejam estabelecidos indicadores para monitorar o progresso do programa de conscientização. São bons exemplos de indicadores:

  • Percentual de colaboradores que clicaram ou repassaram informações confidenciais nos testes de phishing;
  • Quantidade de colaboradores que reportaram suspeita de phishing;
  • Aproveitamento nos questionários de avaliação após a aplicação de treinamentos;
  • Quantitativo de colaboradores que concluíram todas as etapas das trilhas de conscientização.

O monitoramento dos indicadores deve englobar uma perspectiva de maturidade dos colaboradores antes e após o início das atividades de conscientização, para verificar a melhora do nível de maturidade da organização e se a evolução está alinhada com as expectativas definidas.

Conclusão

Tendo em vista a urgência que as organizações possuem em preparar e conscientizar seus usuários para efetivamente constituírem ambientes mais maduros e resilientes em relação à Segurança da Informação, protegendo o aspecto de maior vulnerabilidade que é o comportamento humano.

Para o desenvolvimento de treinamentos e campanhas de conscientização, a Tripla é o parceiro ideal, com um amplo portfólio de soluções e experiência de atuação nos mais diversos segmentos.