Muitos investimentos em cibersegurança podem ser desperdiçados caso o usuário final não esteja devidamente ciente das melhores práticas de proteção pessoal e “abra as portas” de bom grado para os criminosos.
A prateleira de soluções que prometem automatizar estratégias de segurança da informação é extensa — o profissional que for ao mercado encontrará de tudo, incluindo softwares de proteção de endpoint, firewalls, gerenciadores de ativos, plataformas extendidas de detecção e resposta (XDR) e assim por diante. Contudo, é comum que as equipes se esqueçam de que todo o investimento milionário nesses produtos pode se provar inútil caso o usuário final não esteja educado sobre as ameaças cibernéticas que o cercam diariamente no ambiente de trabalho.
Pense bem. Imagine que, ao comprar uma casa nova, você decida equipá-la com tudo o que há de “state of art” no setor de segurança patrimonial. Há cercas elétricas, circuito privado de câmeras, sensores de invasão, um portal automático totalmente fechado e até mesmo um porteiro eletrônico… Tudo parece perfeito para evitar que um ladrão entre. Porém, você se esqueceu de ensinar ao seu filho — ainda uma criança — que ele não deve permitir a entrada de estranhos através do porteiro eletrônico sem a devida autorização de um adulto responsável. E, por conta desse deslize, o criminoso consegue seu passe livre.
A situação é praticamente a mesma na segurança cibernética. E é por isso que existe o que chamamos de security awareness ou conscientização de segurança — treinamentos que visam transmitir, para todos os colaboradores da empresa, conhecimentos básicos de proteção individual para que eles não cometam erros que possam comprometer todo o ecossistema corporativo. Isso inclui, como exemplo mais comum, cair em uma campanha de phishing e ter sua máquina infectada por um malware que irá se replicar ao longo de toda a rede, afetando também os outros computadores interligados.
O objetivo de programas de conscientização é garantir que absolutamente todos os indivíduos de uma empresa estejam condicionados a adotar uma postura segura em seu cotidiano — não apenas no ambiente profissional, mas também no pessoal, que cada vez mais se misturam —, mantendo-se sempre atualizado a respeito dos riscos aos quais estão suscetíveis e como mitigar tais perigos.
É para todo mundo mesmo!
É importante ressaltar que estamos sendo literais ao dizer que um programa de conscientização em segurança deve abranger “todos os indivíduos” de uma organização: coordenadores, diretores e até mesmo os c-levels também precisam dessa educação. Claro, os colaboradores de nível hierárquico mais baixo costumam ser vítimas mais comuns (justamente por conta de sua falta de conhecimento sobre o assunto), mas a prepotência de alguns cargos mais altos pode ser justamente criar uma falsa sensação de “eu sei o suficiente para não cair em armadilhas”.
Devem ser abordados diversos tópicos: o que é engenharia social e como identificá-la; phishing, smishing e vishing; a importância de senhas fortes e do uso de métodos adicionais de autenticação (multifator); o porquê de manter seus aplicativos e sistemas operacionais sempre atualizados; o perigo de baixar arquivos e instaláveis de fontes não-confiáveis e assim por diante. Mas não pense que os conhecimentos de um bom programa se limitam ao universo cibernético — também devem ser trabalhadas algumas atitudes e posturas importantes para o meio físico.
Isso inclui não conversar segredos comerciais em qualquer lugar (as famosas “conversas de elevador”, ambiente no qual um competidor pode estar presente), manter sua mesa limpa de papéis contendo informações sigilosas, descartar corretamente quaisquer documentos impressos sensíveis e evitar o chamado tailgating (quando um ator malicioso tenta obter acesso físico ao escritório “pegando carona” com alguém que possua autorização para entrar nele de forma legítima, convencendo-o a liberar sua entrada através de manipulação emocional).
Um problema global, mas fácil de ser solucionado
Infelizmente, a área de security awareness pode ser considerada um tanto imatura no mundo inteiro, e no Brasil a situação é ainda mais grave — é raríssimo encontrar empresas que dispõem de um Security Awareness Officer (SAO), executivo que seria responsável por coordenar, em tempo integral e dedicando todo o seu tempo de trabalho (ou seja, um full-time employee ou FTE) aos programas de conscientização. Por conta disso, muitas ações e iniciativas, quando existentes, acabam sendo de baixíssima qualidade e ineficazes em efetivamente mudar a cultura dos colaboradores para um mindset mais seguro.
O instituto System Administration, Networking and Security (SANS) possui um modelo globalmente reconhecido de maturidade em conscientização de segurança da informação. Ele é composto por cinco níveis, e, infelizmente, mundialmente falando, a esmagadora maioria das corporações não passam do segundo nível — aqui, temos ações pontuais e esporádicas de treinamento, com uma qualidade baixíssima, geralmente apenas para fins de compliance regulatório (várias normas setoriais exigem que os colaboradores sejam condicionados sobre boas práticas de segurança em uma periodicidade mínima).
O ideal é chegar ao menos no terceiro nível, quando existe um programa contínuo, constantemente atualizado, com alto engajamento de todos os colaboradores (mensurável através de táticas como simulações de phishing ou até mesmo brincadeiras gamificadas, como quizzes e rankings de quem mais reporta emails suspeitos) e com uma mudança efetiva na cultura de todos os funcionários. Claro, isso também demanda investimentos, principalmente em mão-de-obra especializada.
É crucial lembrar que o SAO ideal não é simplesmente um profissional técnico de segurança da informação. Para esta posição, o candidato ideal deve ter um equilíbrio entre conhecimentos sólidos de cibersegurança e boas habilidades de comunicação, facilidade para transformar temas de alta complexidade em pílulas educacionais fáceis de engolir e criatividade para oferecer esse treinamento nos mais variados (e atraentes) formatos diferentes. Já existem, no Brasil, alguns raros cursos e certificações para quem quer ser um SAO.