Mas não se apresse... antes de mais nada, lembre-se que para ter um programa de conscientização eficaz, você precisa de muito planejamento, de uma estratégia clara, de ter ações contínuas e, principalmente, apoio da alta gestão. Conscientização é muito mais do que fazer um treinamento anual e realizar testes de phishing periodicamente.
Eu juntei aqui algumas dicas e sugestões simples para construir uma campanha de conscientização na sua empresa, pensando nos desafios atuais para criar uma comunicação que possa atingir e engajar os colaboradores.
- Ser curto, claro e objetivo, indicar os riscos e recomendações;
- As mensagens tem que ser curtas e simples, ninguém mais tem tempo para ler um artigo na Intranet e visitar 5 sites na referência. Assistir um treinamento online de 1 hora de duração é quase impossível! Sua mensagem tem que caber numa sequencia de tweets, pois atualmente as pessoas querem consumir conteúdos curtos e objetivos, sem tempo nem paciência para ver um vídeo de 10 minutos, que seja;
- Prefira "micro treinamentos" (treinamentos curtos e sobre temas específicos) do que treinamentos longos. Os treinamentos tradicionais, longos e com agenda repleta de assuntos, abordam tantos temas que as as pessoas acabam não absorvendo todos o conteúdo;
- Ser algo prático e aplicável no dia-a-dia
- Melhor ainda se for algo que o usuário conecta com sua vida pessoal (por exemplo, ao falar sobre 2FA/MFA, lembrar o usuário de colocar senha no seu WhatsApp pessoal);
- Traga exemplos reais de ciber ataques e suas consequências. Há centenas de exemplos na mídia, então aproveite e escolha um ou dois relacionados ao seu segmento de atuação ou ao dia-a-dia dos usuários (ex, vazamento de dados em uma rede social ou site conhecido) e que tenham impacto marcante. Traga também exemplos internos, por exemplo, mensagens reais de phishing recebida pelos usuários;
- Seja divertido, pois o bom humor chama mais a atenção e facilita a retenção da mensagem. Use memes, charges, vídeos engraçados. Faça desafios e perguntas descontraídas para a audiência (o Kahoot! e o Mentimeter são ferramentas que podem facilitar sua interação com a platéia);
- A comunicação tem que ser multi-canal, pois cada pessoa tem seu canal de comunicação preferido. Isso inclui e-mails, posts na intranet, mensagens no aplicativo de comunicação corporativa (por exemplo, se você tiver um canal de avisos de segurança), posts nas redes sociais, imagens nas TVs do escritório, etc.
- Nenhum canal vai atingir a maioria dos colaboradores, e sempre vai ter gente que não vai ver nenhum deles;
- A comunicação deve ser sincronizada em todos esses canais (em série ou paralelo, de acordo com a necessidade);
- A comunicação deve utilizar múltiplas formas e linguagens, desde um texto simples, um “tweet”, vídeos, treinamentos curtos ou longos, questionários e desafios (quiz), etc.
- Segmente a campanha para cada público alvo. Há ações que se aplicam para toda a empresa, mas também devemos prever ações para times específicos, de acordo com suas necessidades e conhecimentos específicos. Por exemplo, o time de desenvolvimento deve receber treinamentos sobre práticas de desenvolvimento seguro e podem gostar de uma atividade do tipo "Capture The Flag" (CTF). O time de facilites, principalmente as recepcionistas e seguranças, devem receber treinamento sobre engenharia social. E por aí vai, levante as necessidades de cada time;
- Insira o tema segurança na rotina de trabalho das pessoas. Planeje ações junto com a rotina de trabalho dos times específicos, pois atualmente as pessoas estão tão atarefadas que resistem a ter que realizar treinamentos ou assistir reuniões não relacionados diretamente com suas atividades. Uma ótima dica é incluir conteúdo de segurança nos encontros e treinamentos dos outros times - como abrir 5 ou 10 minutos para você nas reuniões periódicas dos times. Assim é mais fácil ter a atenção do pessoal;
- Leve a segurança também para o dia-a-dia do colaborador e sua família! Assim, o funcionário consegue associar suas atitudes a benefícios palpáveis para ele mesmo, e para atividades de sua rotina. Por exemplo, muitas empresas criam suas cartilhas de segurança para resumir as políticas, regras e orientações da empresa. Mas, que tal fazer uma versão com dicas para a família e amigos? Ao fazer uma campanha sobre uso de MFA (múltiplos fatores de autenticação) na VPN, por exemplo, inclua dicas de como ativar o MFA nas contas nas redes sociais, e sua importância;
- Não deve ser “punitivo”, pois todos erram. A sua campanha deve ter um tom positivo e focar no lado educacional;
- O apoio do time executivo é fundamental para mostrar a relevância do tema. por exemplo, quando o executivo convida o pessoal para os treinamentos, quando está presente nos treinamentos ou ações junto com os demais colaboradores, ou quando compartilha um depoimento sobre a importância da segurança para o negócio.
Além disso, duas estratégias muito comuns de conscientização hoje em dia, com sucesso, são o uso de gamificação e programas de "Security Champions".
Lembre-se: crie métricas para avaliar a eficácia e a maturidade do seu programa de conscientização.
O pessoal da IBLISS fez, recentemente, uma live sobre Conscientização com 4 profissionais excelentes da área, vale muito a pena assistir.
No dia 24/10/2022 eu apresentei uma palestra no GTS 37 sobre os "Desafios para construir uma cultura e conscientização em Segurança". O vídeo está disponível online:
Para saber mais:
- Conscientização em segurança da informação: Avanços e os principais desafios
- How Companies Can Create a Cybersafe Culture at Work (Stuart Madnick, MIT)
- Case Study “Cybersecurity Culture at C6 Bank” (CAMS MIT)
- Framework for Building a Culture of Cybersecurity (CAMS MIT)
- SANS Security Awareness Maturity Model
- Cybersecurity Culture Maturity Model (CAMS MIT)
- Alguns posts aqui no blog:
Nenhum comentário:
Postar um comentário