7 elementos para um programa de conscientização ser bem sucedido

7 itens para os CSOs que buscam reforçar seus programas de conscientização de segurança.

A algum tempo temos observado que tecnologia somente não é suficiente para conter as ameaças recentes, cada vez mais criativas e complexas de serem bloqueadas. Por isto o tema de conscientização cresce significantemente nas organizações. O Blog Minuto da Segurança já comentou um pouco disto no artigo “Tecnologia não é suficiente para se proteger de ataques Ransomware“, mas aqui vamos abordar o tema de conscientização inspirado no artigo publicado no site CSO Online, com o objetivo de auxiliar os CSOs a montarem seus programas de forma eficaz.

 

Para um bom programa de conscientização de segurança alguns itens são fundamentais e não devem ser relevados.

Ter suporte ao nível executivo , C Level ,  inevitavelmente leva a mais liberdade, orçamentos maiores e maior apoio de outros departamentos. Qualquer pessoa responsável pela execução de um programa de conscientização de segurança deve primeiro, pelo menos, tentar obter suporte forte antes de se concentrar em qualquer outra coisa.

Obter o envolvimento do executivo significa não somente obter orçamento, mas influenciar pelo exemplo “top-down”.

Sim, obter esse nível de suporte pode ser difícil, mas existem certas práticas recomendadas que melhorarão suas chances de sucesso, incluindo o fato de que a consciência de segurança é necessária para a conformidade e que os esforços de conscientização inevitavelmente salvam o dinheiro da empresa. A criação de materiais especificamente para executivos, demonstrando o possível ROI, e a utilização de boletins informativos e artigos curtos que destacam notícias e dicas relevantes também podem ajudar a obter o apoio tão necessário.

2. Parceria com os principais departamentos

Os programas bem sucedidos de conscientização procuram uma maneira de sempre envolver outros departamentos, como jurídico, conformidade (compliance), recursos humanos, marketing, privacidade e segurança física. Embora seja mais fácil obter esse suporte se você já tiver suporte executivo, esses departamentos frequentemente têm interesses mútuos e podem ser capazes de fornecer recursos adicionais, como financiamento ou distribuição dentro de seus próprios materiais. Frequentemente, esses departamentos podem tornar obrigatórios os esforços de conscientização de segurança. Por exemplo, os departamentos jurídico e de conformidade possuem grande influência em toda a organização e podem fazer com que a segurança seja um componente necessário nos diversos processos internos, como por exemplo o treinamento de novos contratados.

Para obter esse apoio, você deve ter que incorporar as necessidades dos departamentos cooperantes com os esforços gerais de conscientização de segurança. Por exemplo, você pode sugerir que você possa usar um boletim de conscientização de segurança para incluir conteúdo de conformidade. Se você receber o apoio que você precisa, o esforço definitivamente vale a pena.

Vale ressaltar que a maioria das organizações exige o envolvimento de outros departamentos. Por exemplo, talvez seja necessário que Marketing Interno, que coordenam as comunicações corporativas, aprovem e distribuam materiais aos funcionários; Eles provavelmente têm políticas que governam a forma como os materiais devem ser construídos (formatos e linguística)  e distribuídos esses materiais. Você precisa descobrir este caminho o mais rápido possível.

3. Seja relevante

Parece que a maioria dos programas de conscientização são um programa padrão de check-the-box e o conteúdo é conduzido por uma lista de potenciais vídeos de treinamento online. Programas de conscientização que se concentram em informações oportunas podem ser bem-sucedidos e prevenir ataques.

Não existe programa de conscientização prontos, o programa deve ser moldado e adaptado à realidade da empresa e seu contexto, além de trazer tópicos atualizados e relevantes ao público alvo.

As informações de ataques não precisam ser iminentes contra sua própria organização. Há uma abundância de notícias e informações relevantes que podem ser utilizadas. WannaCry foi um excelente exemplo de uma questão relacionada à cibersegurança que recebeu atenção geral. Hacks contra grandes varejistas são outro exemplo de problemas de segurança de grande repercussão. Seu programa de conscientização deve fazer uso regular desses ataques para demonstrar a relevância de seus esforços. Isso, por sua vez, motiva seus usuários a seguir seu conselho.

Mas cuidado para não tornar-se “mensageiro do apocalipse”, chamar a atenção aos ricos e problemas envolvidos é sempre importante, mas a sobre carga deste conteúdo pode tornar-se terrorismo e nestes casos o efeito é inverso, as pessoas tendem a achar sensacionalismo e de pouca relevância para seu trabalho. Usar de psicologia  é sempre recomendável, por isto se possível tenha alguém da área de psicologia humana envolvido na criação do material educativo.

4. Medir o sucesso

Um dos fatores-chave em ter um esforço bem sucedido é ser capaz de provar que seu esforço é bem sucedido. A única maneira de fazer isso é coletar métricas antes de iniciar novos esforços de conscientização. Sem estabelecer uma linha de base, é difícil demonstrar que seus esforços tiveram sucesso mais do que assumido.

As métricas podem incluir pesquisas sobre atitudes. Embora deva ser utilizado com parcimônia, também pode-se incluir o uso de ferramentas de simulação de phishing antes e depois do treinamento de conscientização. Você também pode examinar o número de incidentes relacionados à segurança relatados ao help desk, o número de incidentes de vírus ou relatórios de um filtro de conteúdo web que dão o número de tentativas de visitas a sites proibidos.

Quando você pode mostrar melhorias mensuráveis ​​em qualquer aspecto da segurança, você pode justificar melhor seu programa e obter financiamento e suporte adicionais. De certa forma todos os departamentos de uma empresa tem que provar seu valor, e a segurança não deve esperar ser uma exceção.

5. Seja o departamento do “como”

Muito frequentemente, os departamentos de segurança parecem ser o “Departamento de Não”. Muitos plano de conscientização concentram em dizer às pessoas o que não devem fazer, quando a realidade as pessoas sempre encontrarão uma maneira de fazer o que quiserem. Embora se reconheça que há claramente algumas ações que não devem ser permitidas, essas devem ser a exceção e não a regra.

Os esforços de conscientização que se concentram em dizer como realizar ações de forma segura são mais bem sucedidos do que aqueles que se concentram em dizer às pessoas que não façam coisas. Idealmente, os programas de conscientização devem dizer às pessoas como interagir com informações de forma segura tanto no escritório como em casa. Por exemplo, em vez de dizer aos funcionários que eles não deveriam estar nas redes sociais, ensine-lhes como usar redes sociais com segurança.

6. Incentivar a conscientização

Crie uma estrutura de recompensa que ofereça incentivos com base em comportamentos reais demonstrados pelos funcionários. Embora possa não ser prático para todas as organizações implementarem um tipo de programa abrangente de gamificação, ainda há a oportunidade de implementar alguns incentivos e recompensar as pessoas por comportamentos de segurança adequados.

Por exemplo, você pode recompensar pessoas por reportar possíveis incidentes de segurança. Tais incidentes podem ser incluídos nos relatórios de mensagens de simulação de phishing. Encontre o máximo de maneiras possíveis para que os usuários demonstrem bons comportamentos e criem uma estrutura de recompensa apropriada.

7. Use uma variedade de ferramentas de conscientização

Embora exista módulos de treinamento online, muitos programas dependem completamente deles como um programa de conscientização. Os programas mais bem sucedidos incorporam uma variedade de ferramentas de conscientização, incluindo boletins informativos, pôsteres, jogos, notícias, blogs, simulações de phishing, etc. Os esforços mais participativos parecem ter o maior sucesso.

Outra questão a considerar é que os materiais devem levar em consideração os diferentes dados demográficos de seus usuários. Diversifique seus materiais para atrair o maior número possível de usuários. Definitivamente, não existe uma consciência de segurança “de tamanho único”.

Conclusão

Esta não é uma lista exaustiva, mas um excelente ponto de partida. Lembre-se, os hábitos geram cultura de segurança, e não existem tecnologias que possam compensar a má segurança da cultura. Os programas de conscientização, quando executados corretamente, fornecem conhecimento que infunde o comportamento. Embora a maioria dos profissionais de segurança acredite que o bom comportamento de segurança é uma questão de bom senso, a realidade é que o senso comum é baseado em conhecimentos comuns que precisam ser ainda mais comuns.

Referência: CSO Online by Ira Winklerpor MindSec 26/06/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.