outubro 26, 2022

[Segurança] Dicas rápidas para construir uma campanha de conscientização

As ações tradicionais de conscientização estão mortas! Nos tempos atuais, aonde parte da força de trabalho pode estar remota (graças a adoção do home office e trabalho híbrido em várias empresas), as campanhas tradicionalmente realizadas no ambiente de escritório – como posts, banners e ações teatrais – não funcionam mais para todos os colaboradores. Por isso mesmo, precisamos pensar em novas formas de atrair a atenção dos funcionários e adequar nossa comunicação para o público atual. 

Mas não se apresse... antes de mais nada, lembre-se que para ter um programa de conscientização eficaz, você precisa de muito planejamento, de uma estratégia clara, de ter ações contínuas e, principalmente, apoio da alta gestão. Conscientização é muito mais do que fazer um treinamento anual e realizar testes de phishing periodicamente.

Eu juntei aqui algumas dicas e sugestões simples para construir uma campanha de conscientização na sua empresa, pensando nos desafios atuais para criar uma comunicação que possa atingir e engajar os colaboradores.
  • Ser curto, claro e objetivo, indicar os riscos e recomendações;
    • As mensagens tem que ser curtas e simples, ninguém mais tem tempo para ler um artigo na Intranet e visitar 5 sites na referência. Assistir um treinamento online de 1 hora de duração é quase impossível! Sua mensagem tem que caber numa sequencia de tweets, pois atualmente as pessoas querem consumir conteúdos curtos e objetivos, sem tempo nem paciência para ver um vídeo de 10 minutos, que seja;
    • Prefira "micro treinamentos" (treinamentos curtos e sobre temas específicos) do que treinamentos longos. Os treinamentos tradicionais, longos e com agenda repleta de assuntos, abordam tantos temas que as as pessoas acabam não absorvendo todos o conteúdo;
  • Ser algo prático e aplicável no dia-a-dia
    • Melhor ainda se for algo que o usuário conecta com sua vida pessoal (por exemplo, ao falar sobre 2FA/MFA, lembrar o usuário de colocar senha no seu WhatsApp pessoal);
  • Traga exemplos reais de ciber ataques e suas consequências. Há centenas de exemplos na mídia, então aproveite e escolha um ou dois relacionados ao seu segmento de atuação ou ao dia-a-dia dos usuários (ex, vazamento de dados em uma rede social ou site conhecido) e que tenham impacto marcante. Traga também exemplos internos, por exemplo, mensagens reais de phishing recebida pelos usuários;
  • Seja divertido, pois o bom humor chama mais a atenção e facilita a retenção da mensagem. Use memes, charges, vídeos engraçados. Faça desafios e perguntas descontraídas para a audiência (o Kahoot! e o Mentimeter são ferramentas que podem facilitar sua interação com a platéia);
  • A comunicação tem que ser multi-canal, pois cada pessoa tem seu canal de comunicação preferido. Isso inclui e-mails, posts na intranet, mensagens no aplicativo de comunicação corporativa (por exemplo, se você tiver um canal de avisos de segurança), posts nas redes sociais, imagens nas TVs do escritório, etc.
    • Nenhum canal vai atingir a maioria dos colaboradores, e sempre vai ter gente que não vai ver nenhum deles;
    • A comunicação deve ser sincronizada em todos esses canais (em série ou paralelo, de acordo com a necessidade);
    • A comunicação deve utilizar múltiplas formas e linguagens, desde um texto simples, um “tweet”, vídeos, treinamentos curtos ou longos, questionários e desafios (quiz), etc.
  • Segmente a campanha para cada público alvo. Há ações que se aplicam para toda a empresa, mas também devemos prever ações para times específicos, de acordo com suas necessidades e conhecimentos específicos. Por exemplo, o time de desenvolvimento deve receber treinamentos sobre práticas de desenvolvimento seguro e podem gostar de uma atividade do tipo "Capture The Flag" (CTF). O time de facilites, principalmente as recepcionistas e seguranças, devem receber treinamento sobre engenharia social. E por aí vai, levante as necessidades de cada time;
  • Insira o tema segurança na rotina de trabalho das pessoas. Planeje ações junto com a rotina de trabalho dos times específicos, pois atualmente as pessoas estão tão atarefadas que resistem a ter que realizar treinamentos ou assistir reuniões não relacionados diretamente com suas atividades. Uma ótima dica é incluir conteúdo de segurança nos encontros e treinamentos dos outros times - como abrir 5 ou 10 minutos para você nas reuniões periódicas dos times. Assim é mais fácil ter a atenção do pessoal;
  • Leve a segurança também para o dia-a-dia do colaborador e sua família! Assim, o funcionário consegue associar suas atitudes a benefícios palpáveis para ele mesmo, e para atividades de sua rotina. Por exemplo, muitas empresas criam suas cartilhas de segurança para resumir as políticas, regras e orientações da empresa. Mas, que tal fazer uma versão com dicas para a família e amigos? Ao fazer uma campanha sobre uso de MFA (múltiplos fatores de autenticação) na VPN, por exemplo, inclua dicas de como ativar o MFA nas contas nas redes sociais, e sua importância;
  • Não deve ser “punitivo”, pois todos erram. A sua campanha deve ter um tom positivo e focar no lado educacional;
  • O apoio do time executivo é fundamental para mostrar a relevância do tema. por exemplo, quando o executivo convida o pessoal para os treinamentos, quando está presente nos treinamentos ou ações junto com os demais colaboradores, ou quando compartilha um depoimento sobre a importância da segurança para o negócio.
Além disso, duas estratégias muito comuns de conscientização hoje em dia, com sucesso, são o uso de gamificação e programas de "Security Champions".

Lembre-se: crie métricas para avaliar a eficácia e a maturidade do seu programa de conscientização.

O pessoal da IBLISS fez, recentemente, uma live sobre Conscientização com 4 profissionais excelentes da área, vale muito a pena assistir.


No dia 24/10/2022 eu apresentei uma palestra no GTS 37 sobre os "Desafios para construir uma cultura e conscientização em Segurança". O vídeo está disponível online:



Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.