Segurança da Informação: Conscientização vs Cultura
https://www.creech.af.mil/News/Article-Display/Article/981112/the-importance-of-cybersecurity/ -- label for used by google search @ 29/11/2018

Segurança da Informação: Conscientização vs Cultura

André D. André D.

André D.

Information Security Manager

Publicado em 4 de dez. de 2018
+ Siga

Quando se fala em conscientização de Segurança da Informação, normalmente se pensa em banners, vídeos, PPTs elaborados, apresentações seguidas de afirmações de treinamento e em alguns casos a coleta de assinaturas para formalizar a capacitação.

Na prática, tudo isso significa pouca coisa além de um registro para auditoria de que atende a política interna, regulamentações e compliance.

O ser humano aprende normalmente de quatro formas: prática repetida (hands on), observação repetida, premiação ou repressão. Uma apresentação anual ou semestral, dificilmente fixará o conhecimento nos usuários.

Em atividades de consultoria, era frequente encontrar gestores de diferentes níveis e segmentos falarem abertamente que precisavam assinar o termo de ciência da política por questões de compliance. Tive casos onde a média e alta gerência sabia que senhas eram compartilhadas, assim como violações de regras, mas faziam vista grossa porque as atividades do dia-a-dia estavam sendo feitas rapidamente.

Em todos esse casos, haviam registros de treinamentos e capacitações por palestras isoladas, e-mails de orientação e em alguns casos banners. Valores financeiro e tempo são gastos, basicamente por fins de compliance, sem obter melhora efetiva e mensurável do nível de educação, conscientização e acima de tudo, cultura em Segurança da Informação. Quando ocorre um problema, a punição vai direto ao funcionário e segue o jogo. Isso deveria gerar uma reflexão:

Por que não conseguimos fazer uma campanha de conscientização eficiente?

Infelizmente parte do problema é o foco em Compliance, direcionado a falsa sensação de transferência de responsabilidade aos usuários, onde não é almejado o aumento de maturidade que leva a cultura elevada de SI. Almejar maior maturidade gera muito trabalho e necessita de headcount de áreas externas a SI.

Se seus funcionários não conseguem assimilar conceitos básicos de SI, a falha não é deles.

A forma como transmite a informação tende a estar errada em algum ponto ou formato.

Uma das primeiras mudanças necessárias é deixar de lado a exclusividade das questões corporativas e passar a atuar também nas questões sociais que ocorrem fora do ambiente de trabalho que afetam a vida pessoal de cada um como riscos aos filhos, idosos, saúde financeira, etc.

Ações deste tipo devem buscar que a SI passe a fazer parte da referência do dia-a-dia e estimular bons comportamentos não apenas na empresa, mas em casa também. Todos sabemos que é errado e não é preciso fazer treinamentos anuais sobre:

  • Atravessar fora da faixa
  • Dirigir sem cinto de segurança
  • Ficar em pé durante turbulência, pousos e decolagens

Existem controles que conseguem, ou deveriam, mensurar os desvios nestes casos. Todos olhamos automaticamente e apontam para quem faz a atividade de forma errada.

O mesmo mindset deve ser almejado na SI. Deve-se estimular que os funcionários conversem com familiares, amigos e pares sobre as questões de SI de forma que passe a ser parte do comportamental natural.

Os treinamentos devem possuir interação e meios de hands on com situações do dia-a-dia. Deve ser vinculada a participação e melhora da cultura nos testes ao bônus anual, índice de desempenho ou outro mecanismo que estimule o usuário e deixar de ser opcional. O treinamento oficial necessita ser mandatório.

Estimular a identificação de champions em todas as áreas é importante para facilitar e valorizar a evolução da cultura de SI. Eles são facilitadores.

Campanhas de SI tendem a ter sucesso significativamente maior quando os pares identificarem e reportarem entre si os problemas de SI identificados.

Se coloque em alguns cenários clássicos:

  • Note desbloqueado. Ao invés de repreender a ação, alguém cria e-mail de trote. O que seria mais eficiente: Mandar o trote ou chamar a atenção? O trote vira piada, todo mundo ri (além de ser anti-ético) e depois esquece. A outra opção não.
  • Informação de projetos sem nenhuma classificação? Segue, compartilhando a informação com a equipe interna e parceiros externos sem saber se poderia ou pede para a informação ser classificada de forma que possa ter a correta orientação sobre quem/como pode ter acesso ao conteúdo?
O objetivo deve ser mudar a cultura e não dar conscientização. Cultura é uma questão social que se muda de médio a longo prazo.

A ação de conscientização deve ser um ponto de partida, não a atividade fim. As relações de causa e efeito que devem ser buscadas e estimuladas para afetar a cultura são:

Conscientização: é o ponto de partida. Ela não afeta a cultura. Busca primeiro mudar o comportamento dos funcionários.

Comportamento: Sendo a conscientização feita de forma repetida, consistente e com qualidade adequada, mudanças de comportamento surgem. Normalmente por meio de conversas informais, ações em reuniões, e-mails, tickets, ações de projeto. Esses momentos devem ser aproveitados e estimulados ao máximo para ganhar momento, acelerar a mudança de cultura e identificar melhorias no programa de conscientização.

Cultura: É uma ação direta da mudança de comportamento (não da conscientização). Gera um retorno que modifica o comportamento de outras pessoas afetadas pela demanda de uma cultura de SI diferente, que por sua vez irá demandar ajustes nas campanhas e treinamentos de conscientização e afetar os pares.

Afetar os pares: É a evolução da maturidade de SI na sociedade onde a empresa se encontra. Quando as pessoas passam a identificar e automaticamente comunicar problemas em qualquer esfera sem receio e visando o bem comum. Neste ponto começamos a ter uma organização onde a maioria passa a estar efetivamente vigilante as questões de SI.

Ao atingir o ponto de tornar o processo automatizado e que se auto corrige com inputs recorrentes, permite agilidade da organização sobre o tema e um nível elevado de maturidade.

Atingir o nível onde os pares se auto regulam sobre SI é demorado, demanda headcounts de diferentes skills e não é simples. Deveria ser o objetivo ao invés da simples conscientização pelo compliance. Não espere atingir esse nível apenas com profissionais de TI e SI. Marketing, RH, Legal, Comunicação e Estatística são importantes. Eles podem ser o diferencial.





Entre para ver ou adicionar um comentário

Outros artigos deste autor

Ver todos

Outras pessoas também visualizaram

Conferir tópicos