outubro 26, 2006

[segurança] Conscientização de Usuários


Um dos aspectos mais importantes de um programa de segurança corporativo é, justamente, obter a conscientização e comprometimento dos usuários. Os usuários finais são os alvos mais fáceis de ataques, devido a pouca informação que normalmente possuem sobre tecnologia e os riscos de segurança existentes.

Atualmente existem várias empresas e ferramentas que auxiliam na elaboração e implantação de um plano de conscientização (em inglês, "security awareness"). Isto deve envolver treinamentos, palestras e campanhas periódicas, porém com o cuidado de não serem repetitivas nem perderem o descrédito junto aos usuários.

Nesse segmento, há algumas companias e soluções que acredito que merecem um destaque, tais como:
  • Existe um screensaver gratuito, bem simples, mas que pode ser customizado em www.code.ae/projects/scr (vi essa dica no blog do amigo Wagner Elias)
  • No site da empresa Security Awareness Inc. também tem muito material de conscientização bem feito. Embora seja em inglês, acho que vale a pena dar uma olhada no screensaver demo deles ("free demo version") e nos modelos de posters e banners (como o utilizado aqui) como fonte de inspiração. Visite também a página com os ítens gratuitos ("freebies").
  • Uma opção nacional de screensaver de segurança é o safeboard
  • Eu mesmo já utilizei o gibi de segurança da "Qualidade em Quadrinhos"


Além das citadas acima, existem várias ferramentas que podem ser utilizadas para manter uma comunicação e conscientização com os usuários, tais como:
  • Intranet de Segurança (acho importante como repositório de informações e para consulta)
  • pop-ups na Intranet para chamar a atenção para campanhas
  • banners na intranet
  • bulletin boards, para permitir a troca de idéias e informações
  • blogs
  • mailing interno, periódico, divulgando novidades, cuidados e notícias
  • meio de canal (e-mail ou formulário web) para receber reclamações, dúvidas, etc
  • padronizar fundo de tela e/ou screensavers dos computadores
  • material de campanha tradicional, tal como posters, brindes, adesivos, mouse pad, etc


Também é comum ver empresas criando campanhas como "Dia da Segurança", "Dia do [Anti-]Vírus", etc.

O importante é saber que cada ferramenta de comunicação tem um enfoque diferente e nenhum deles deve ser usado em demasia, caso contrário o usuário passa a se aborrecer e ignorá-lo. O ideal é criar um planejamento estratégico das ações de conscientização e definir uma mensagem diferente para ser comunidada por cada meio, com um intervalo de um ou dois meses entre cada ação.

Por exemplo, num mês você divulga sua política por mailing e pop-up, noutro mês faz a campanha do dia internacional de segurança com banner na intranet, etc...

Há um material muito bom do NIST, de 2003, chamado "Building an Information Technology Security Awareness and Training Program" e deve servir de referência para quem deseja elaborar um plano de conscientização de segurança. Eles também possuem uma página específica sobre "Awareness, Training & Education" que vale a visita.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.