por Kemily Boff, Especialista em marketing, comunicação e em projetos de conscientização da CYLK Technologing

   

Quem nunca:

  

• Abriu um e-mail que estava oferecendo superdescontos, ou um comunicado importante do banco.
• Acessou um Wi-Fi púbico porque o 4G estava intermitente.
• Conectou um pendrive que ganhou de brinde no evento.
• Usou a mesma senha em diferentes sistemas, para facilitar a memorização.
• Deixou a senha salva para facilitar o acesso.
• Saiu “rapidinho” da mesa deixando o computador desbloqueado.
Todos os hábitos acima eram meus. Estou sempre correndo, fazendo várias coisas ao mesmo tempo, e confesso que me rendia a qualquer recurso que tornasse minhas atividades mais ágeis. Até compreender, de verdade, os riscos e as consequências disso tudo.

   
Esse artigo ficaria mais interessante se eu dissesse que algo muito ruim aconteceu comigo, mas não aconteceu. Parafraseando Augusto Cury, doutor em psicanálise: “O inteligente aprende com os seus erros, o sábio aprende com os erros dos outros”. O que aconteceu, na verdade, é que eu vi pessoas muito próximas e empresas gigantescas terem sérios problemas com reputação, perda de dinheiro e perda de informações. Eu estou longe de ser sábia, mas, nesse assunto em especial, aprendi com o erro dos outros. Vou contar uma história.

   
Uma amiga muito próxima teve fotos de um ensaio, que havia feito para o marido, publicadas em sites de conteúdo adulto. As fotos estavam no computador dela e nunca foram transmitidas por nenhum meio, ela garantiu. Mas, deste mesmo computador, clicava nos tentadores e-mails de superpromoções. Isso aconteceu há 5 anos, mais ou menos. O site retirou as fotos, ela processou a empresa e, claro, ganhou. Será? Na minha visão, tudo o que ela “ganhou”, de fato, foi exposição à família (incluindo seu filho, hoje com 9 anos), aos amigos, aos colegas de trabalho. “Ganhou” um tormento psicológico que lhe custou várias sessões de terapia e remédios para suportar todo esse estresse. Que dinheiro paga tudo isso? Quando as pessoas vão esquecer? Onde foram parar essas fotos, mesmo que não estejam mais naquele site?

    
O impacto na vida dela foi imenso.

    
Somente após isso ela reconheceu os riscos e entendeu a importância dos hábitos saudáveis quando o assunto é segurança da informação. Por essa e outras histórias, hoje eu sou, de fato, muito mais consciente e carrego esta bandeira comigo.

    
Imagine, então, informações confidenciais da sua empresa sendo divulgadas na mídia. Qual seria o impacto? Quanto custaria para retomar a reputação? Quanto dinheiro seria desperdiçado? Quantas pessoas correriam o risco de perder seus empregos? Como o concorrente se beneficiaria?

    
Apenas relembrando, o vazamento de dados da Target, gigante do segmento de varejo nos EUA, afetou pelo menos 70 milhões de consumidores. O número é alto, e a sensibilidade das informações é maior ainda: os invasores conseguiram nomes, números, validade e código de segurança de cartões de crédito e débito. Para a loja, o resultado foi um prejuízo potencial de mais de 3 bilhões de dólares e a perda de confiança dos seus consumidores. Cinco anos se passaram desde a tragédia e ainda hoje as pessoas se lembram e comentam o assunto.

    
Mesmo com investimentos altíssimos em produtos de cybersecurity, o elo mais fraco sempre será o ser humano e, sim, ele pode colocar tudo a perder! Então, para proteger os altos investimentos feitos em segurança dos dados e mitigar cada vez mais os riscos de roubo e vazamento de informações, só há um caminho: educação e conscientização das pessoas.

    
Esse assunto está se tornando cada vez mais relevante e reconhecido pelas organizações. No entanto, é preciso cautela e sabedoria para escolher o programa ideal para a sua empresa. É fundamental haver alinhamento entre a metodologia adotada e a cultura corporativa, bem como a medição dos resultados alcançados através de relatórios sérios que permitam calcular a TC (Taxa de Conscientização) durante toda a jornada.

    
Uma dica muito importante: simulações de phishing são “indicadores” essenciais para mensurar a qualidade dos hábitos dos usuários, mas é preciso que o programa escolhido de alguma forma cubra todos os outros possíveis meios de vazamento e invasão, como: SMS, Wi-Fi, engenharia social, mídias removíveis, redes sociais, estações de trabalho, compartilhamento de recursos entre atividades pessoais e corporativas, senhas, uso do shadow IT, BYOD e por aí vai.

Um programa de conscientização vencedor passa por 4 estágios:

1) EDUCAÇÃO
Lembrando que é preciso:
• Falar a mesma língua das pessoas, levando em consideração os níveis hierárquicos, as diferentes áreas de atuação e até mesmo as limitações de cada um.
• Utilizar mensagens de impacto, recursos visuais e lúdicos (vídeos animados e cartilhas, entre outros).
• Incluir palestras presenciais.
• Utilizar todos os meios de comunicação disponíveis na companhia, como: e-mail, fundo de tela, intranet, ambientes físicos compartilhados, plataforma de EAD, entre outros.

   

2) MEDIÇÃO
• Campanhas de simulação de phishing.
• Conversão de todas as comunicações.
• Quizzes interativos para validar o conhecimento.
• Pesquisas sobre hábitos em relação ao uso de senhas, BYOD e Shadow IT (com foco na área de segurança e compliance).

   

3) ANÁLISE
Com base nos relatórios de medição, analisar os resultados de cada ação para:
• Reenvio de comunicação para as pessoas que não se engajaram, incentivando-as.
• Adaptação das mensagens para aumentar o alcance.
• Corrigir possíveis falhas.

    

4) NOVA CULTURA:
Ao final da jornada, uma nova cultura é estabelecida na empresa e teremos a seguinte equação:
(Pessoas conscientes + hábitos saudáveis) X (Mitigação de riscos com vazamentos e roubo de informações) = Perpetuidade do negócio.
Conscientização sobre segurança da informação é uma jornada que tem começo, meio, mas não tem fim. É preciso persistir e criar um mecanismo para manter a chama sempre acesa.

   

    
Finalizo com uma frase do especialista em segurança da informação, criptógrafo e escritor, Bruce Schneier, que disse: “Amadores hackeiam sistemas, profissionais hackeiam pessoas”.

      

Um abraço e até a próxima!