Mário Sérgio Ribeiro (*)
Na segurança da informação/cibernética (SI&C) os colaboradores internos sempre foram vistos pelo lado negativo nos Programas de Educação e Conscientização. Tanto podem agir de forma acidental como intencional, podendo vir a causar um dano material e/ou de reputação à empresa. Que os criminosos do ciberespaço sabem disso há muito tempo e exploram de maneira assertiva essa fragilidade, isso ninguém duvida; aliás, segundo algumas pesquisas que li recentemente, em tempos de de ransomware para todo lado, colaboradores tem sido o alvo preferido para conseguirem o seu intento. Então, o que fazer? Aumentar a quantidade e qualidade dos controles tecnológicos? Aumentar simplesmente a quantidade de palestras de conscientização em SI&C? Demitir os colaboradores que erram para servirem como exemplo? Não! O caminho mais assertivo é mudar a mentalidade dos colaboradores naquilo que eles enxergam a SI&C, e na qual a empresa irá alcançar a robustez necessária em sua SI&C. Explico.
O método convencional que a maioria esmagadora das empresas que se importam com a SI&C é investir pesadamente em controles tecnológicos de SI&C (hoje existem pelo menos 2.500 fornecedores de solução, e crescem dia a dia), com o típico viés preventivo/detecção/investigação e, em muitos casos, a punição aos colaboradores. E, a outra faceta do método é o estabelecimento de palestras de conscientização, quando muito, apoiadas em programas anuais de conscientização (muito poucas fazem isso). Pois bem, essas palestras procuram mostrar as políticas das empresas (o que pode e/ou o que não pode fazer), cuidados, dicas, etc. A periodicidade dessas palestras, na grande maioria dos casos, quando ocorre, é uma vez ao ano. Definitivamente Isso não educa e nem conscientiza ninguém. É o que chamamos de pró forma.
Essa prática se revela há anos ineficiente, tamanha é a quantidade de eventos patrocinados por cibercriminosos tendo como alvo predileto os colaboradores. As empresas que dizem que nunca houve nenhum evento em seu domínio, talvez ainda não ouviram falar de que a inexistência de um evento não quer dizer que não há risco! Certamente há o risco em face da vulnerabilidade em adotar uma maneira que não é a correta com a conscientização de seu colaborador. A vulnerabilidade alta, aumenta a chance de ocorrência e bingo! Apostar todas as fichas em seus controles tecnológicos também se mostra ineficaz.
Pois bem, mas o que é preciso mudar? Para que as empresas possam ter uma Cultura de Segurança robusta, baseada em controles tecnológicos eficazes, políticas e normas de acordo com seu negócio, processos de SI&C claramente definidos e colaboradores educados e conscientizados em SI&C é necessário mudar a mentalidade desses colaboradores. Passarão de um simples receptor do certo e errado para pessoas que agirão de forma pró ativa. Torná-los parte do processo de proteção da SI&C e não como agentes de ameaça (visão positiva x negativa) Isso é uma mudança fundamental no comportamento desses colaboradores, mudando sua maneira de pensar sobre SI&C. Certamente essa postura irá se refletir no desenvolvimento da tal Cultura de Segurança, que muito gente fala que tem, mas ainda permanece com o teoricamente considerado elo fraco da SI&C; e na prática, também fraco!
Ok, mas como mudar a mentalidade do colaborador? O mais importante: mudar sua responsabilidade pessoal de uma mera adesão de seguir uma lista de itens a serem realizados, para considerarem uma responsabilidade pessoal em aderir às melhores práticas de SI&C e ser um elo forte, que também protege a SI&C.
Mais alguma coisa? Sim. Se eu desejo esse elo forte, mude sua responsabilidade pessoal, eu preciso de mais treinamento, mais conhecimento para essa minha “nova proteção”. O mais conhecimento fortalece o colaborador que sente que a empresa de fato aposta nele como um elo forte e, fica mais fácil de interpretar como parte do processo de proteção. Várias empresas que adotaram essa prática tiveram a oportunidade de verificar que:
- Menos intrusões de malware, aplicação de engenharia social, entre outros ataques;
- Drástica redução da possibilidade de um ransomware paralisar todo o negócio, com perdas materiais e de imagem que poderia levar a empresa à descontinuidade de seu negócio;
- Nível bem maior de conformidade com a LGPD, evitando a violação de dados;
- Elevada diminuição do trabalho da equipe de segurança tecnológica, que já tem um dia a dia sobrecarregado;
- Ficou entendido e evidenciado que no caso de dúvidas o melhor é recorrer à equipe de segurança do que ficar apostando no “achismo” ou faço o quê?. As evidências foram obtidas por meio de Testes e Simulações.
E o planejamento e execução dessa mudança de mentalidade, como fica? Deve ser elaborado um Programa de Educação e Conscientização em SI&C com essa proposta. Importante levar em conta nesse planejamento que esse projeto deve ter cronograma para o ano inteiro e que, juntamente com revisão de política/normas, processos, ele é revisto para o ano seguinte. Executado e aprovado o planejamento parte-se para sua execução.
E quem pode/deve executar esse Projeto? As empresas podem utilizar suas equipes próprias ou buscarem consultoria especializada. Quero fazer uma consideração sobre as equipes próprias. A escolha se deveu somente por uma questão de custo? Se foi, errou. E parece que isso ocorre mais do que devia e pesquisas demonstram. Enquanto o pessoal de SI&C, TI e gestores de áreas veem como muito importante esse projeto, a Alta administração não enxerga assim, ou ainda, não foi despertada para enxergar de outra forma, infelizmente. Mas voltando à questão do custo. Não é ele quem deve determinar a escolha de A ou B para tocar o projeto e sim, se a equipe interna tem a capacidade, experiência e disponibilidade necessária; além disso, é importante avaliar se os colaboradores que deverão atuar de uma nova forma tem a confiança necessária nessa equipe interna. Sem esses atributos, será muito difícil a mudança de mentalidade que desejamos. Lembrando que também gastaremos o tempo do pessoal interno nisso.
Buscar uma consultoria especializada tem seus prós e contras. Um dos contras sempre citado é a disposição em fazer um investimento em um projeto desse, mesmo sabendo que no caso da equipe interna vai gastar horas desses colaboradores. Posso aqui dizer que a relação custo-benefício paga isso. Uma das vantagens é a experiência da consultoria em tratar desse assunto. Além do mais, essa mudança de mentalidade que citamos, sabemos, que passa por uma questão comportamental dos colaboradoes na qual a consultoria especializada deve ter a experiência necessária e metodologia para conduzir.
Como conclusão quero salientar que existem estudos e pesquisas em que apontam para um aumento nos ataques usando colaboradores. Uma pesquisa realizada com mais de 1400 CISOs mostrou suas preocupações para esse e o próximo ano:
– 34% apontaram a fraude via e-mail;
– 33% conta na nuvem;
– 31% colaboradores internos (negligência, acidental ou criminal);
– 30% DdoS;
– 29% ataques na cadeia de suprimento;
– 27% ataques Ransomware; e
– 26% phishing.
Vejam que, das sete preocupações citadas, pelo menos quatro se referem aos colaboradores. E olha que estamos falando de países como EUA, vários da Europa e da Ásia, que supostamente tem maior maturidade com o tema de SI&C em relação ao nosso. Enfim, fica o recado: é necessário tornar o elo fraco um elo forte como seu aliado!
Saúde, se cuidem e um abraço a todos!
Mário Sérgio Ribeiro (*) – engenheiro, mestre em segurança da informação pela USP. Consultor e Professor FIA-USP.
mario.ribeiro@enigmaconsultoria.com.br
