Outubro é conhecido como o mês da Segurança da Informação e falar sobre Awareness Security ou Conscientização de Segurança da Informação para os colaboradores da organização é uma tarefa árdua e requer um planejamento. Também é preciso ser ousado, articulado para fazer a diferença e disposição sem medo de dar a cara a tapa para defender um assunto ainda ignorado no ambiente corporativo. Seja por motivos internos relacionados até onde você pode integrar e envolver os colaboradores na matéria de segurança e até limitações internas que podem incluir a falta de tempo e resistência dos colaboradores, apoio de comunicação, recurso humanos, mão de obra e suporte financeiro.
Dependendo do tamanho da organização e a abrangência da campanha, seja em um escritório ou vários escritórios distribuídos regionalmente e até mesmo em outros países, o plano de comunicação e o envolvimento de patrocinadores é crucial para ter sucesso da campanha. Por hora, gostaria de elucidar algumas experiências com o tema ilustrando algumas estratégias que podem contribuir para defesa e apresentação do resultado para seu CEO, board e executivos responsáveis pela campanha da Segurança da Informação.
Na prática, já participei do planejamento de pelo menos seis campanhas e tenho discernido a importância primeiramente para entender o quanto a área de Segurança da Informação é importante para os negócios e como os colaboradores e as áreas de negócios compreendem a importância de envolver a infosec nos projetos e em que momento isso acontece. Ressalto que isso pode diferenciar no resultado final e com isso deve-se estabelecer e entender como a: i – Segurança é um facilitador, ii – Segurança como tecnologia, iii – Segurança como compliance e iv – Segurança como centro de custo.
Na minha humilde opinião, a segurança sendo vista como centro de custo para a empresa, pode soar negativo. Para isso é preciso pensar no Retorno de Investimentos (RoI) no qual o tema pode contribuir para o negócio. Segurança não pode ser visto como commodities, mas um fator diferencial e necessário para a sobrevivência. Logo que demonstrar os resultados alcançados ajudará na educação continuada ao negócio, tecnologia, processos e pessoas.
Segurança por natureza nasceu em tecnologia, mas ainda não é difícil de encontrar empresas que definem a segurança com Firewall, Antivirus, VPN, criptografia, etc. Falta um toque da governança em gestão da Segurança da Informação. Esta visão míope tem que mudar e assim como a Segurança como compliance também não é o suficiente. Lembro de um amigo especialista de uma big four que dizia: “A segurança deve ser feita em três linhas de defesa” : i – Segurança em TI, ii – Gestão de Segurança da Informação e iii – Auditoria em Segurança.
Obviamente para fazer uma campanha é importante que a área Segurança de Informação seja vista como um facilitador e não como alguém que está para impactar ou atrasar as demandas de negócio. Temos que ser articulados e convencer o business e TI que somos parceiros e estamos ali para contribuir para o bem da organização. Sempre tenha em mente que nosso trabalho é contínuo e ser for necessário temos que pegar na mãozinha da TI ou business para mostrar o risco atual e o grau de importância e a criticidade, caso aquele risco não seja remediado. Afinal, muitas vezes, uma boa análise de risco não foi bem servida e aplicada, não demostrando a informação correta e decisiva para o tomador de decisão. Por isso, temos que agir como facilitadores de negócios.
Voltando ao ponto da campanha segue abaixo algumas dicas que podem ajudar no seu planejamento;
Considerar a participação da campanha de conscientização como uma meta a ser atingida -> Ainda que seja difícil e impossível, estude a viabilidade de incluir a campanha como uma meta. Seja para receber o bônus ou não, isso vai garantir uma aderência dos colaboradores na participação, mas pode não resolver ainda o problema. É necessário que os colaboradores e gestores entendam seu papel e importância no processo.
Suporte da alta gestão -> Assim como o item acima este aqui não pode ficar de fora, caso a contrário a campanha não terá efeito. Entretanto, é necessário o suporte dos executivos (C-level), por exemplo, um vídeo do presidente falando para todos os colaboradores sobre a importância da Segurança da Informação, que é compromisso de todos, torna um diferencial. Paralelamente seja parceiro e negocie com os líderes e tomadores de decisão de cada unidade de negócio.
Medir antes e depois -> Não adianta se apressar para realizar uma campanha se não pensar na estratégia de como você deverá medir a aderência da segurança da informação dentro da organização. É essencial aplicar um teste antes, como o envio de um falso Phishing Scam, para os colaboradores e depois comparar os resultados. Monte aquela bela apresentação e venda para a liderança e ainda esta ferramenta será útil para as próximas campanhas.
Planejamento com 5W2H -> Esta parte envolve diversas atividades que devem levar até a finalização da campanha. Para isso procurei esmiuçar com mais detalhes abaixo. Aplique o conceito de 5W2H que pode lhe ajudar a economizar muito tempo e recursos no projeto. Nesta fase é imprescindível considerar:
· Definir o escopo e abrangência da campanha (local e regional);
· Suporte das áreas internas para realização da campanha, tais como: Marketing ou Comunicação, Recursos Humanos, Facilities e escritórios externos em alguns casos.
· Suporte dos agentes de segurança em outras regiões. Por exemplo, se sua empresa tem escritórios na Colômbia, Chile, Argentina, etc., é preciso negociar com alguém local que possa suportar e patrocinar os recursos necessários.
· Estipular as datas, locais, auditório e espaço para as palestras e disponibilidade e autorização interna nos meios de comunicação da organização.
· Definição dos temas que serão abordados: Phishing Scam, Smishing, Cybersecurity, Ransomware, IoT, Data Leakage, Segurança em Redes Sociais, Uso e Aceitação de Políticas e Recursos como What’s Up, e até mesmo citar casos reais de incidentes ocorridos internamente.
· Determinar a quantidade de palestras e dias que irá ocorrer a campanha. Geralmente é escolhida a semana da Segurança da Informação e as palestras são realizadas em dois períodos entre dois ou três dias. Seja local ou remoto para quem estiver externo como a área de vendas.
· Apreciar e incluir temas de segurança que leva a importância na vida pessoal dos colaboradores como a proteção da privacidade nas redes sociais e especialmente citar algo sobre a segurança com seus filhos.
· Confinamento e definição dos materiais de divulgação e brindes, meios de comunicação para divulgação (Intranet, newsletter, videos interativos, painéis, papéis de parede, TVs no refeitório, corredores e elevadores da empresa) flyers, cartazes seja impresso ou digital, etc.
· Ações na saída do restaurante usando iPads e interagindo com os colaboradores para testar o quanto a senha do Facebook é forte: ex: https://howsecureismypassword.net ou https://haveibeenpwned.com são bons recursos. Você pode distribuir alguns brindes para os colaboradores que participarem do teste.
· Examinar parcerias com agências de teatro para simular um tema de vazamentos de dados, phishing, etc. Geralmente artistas possuem uma excelente didática e pode dar um toque extra, mas pode exigir um budget gordo para isso.
· Se há recurso financeiro, por que não propor um sorteio de um brinde como um Ipad ou Playstation para incentivar a participação dos colaboradores nas palestras?
· Estimular o reconhecimento dos colaboradores que se destacaram em algumas atividades, como hackaton, painéis de discursões e divulgar na Intranet. Isso pode incentivar outros colaboradores a participarem das próximas campanhas.
· Na semana antecedente ao evento faça um checklist e assegure que não esteja faltando nada. Tenha atenção com prazos para obter uma aprovação para compra de café, doces, banners, entrega do material com fornecedores, fique atento para não faltar nenhum recurso que seja essencial para a campanha.
· O material de apresentação deve ser bem claro, simples, persuasivo e objetivo, menos textos, com figuras e interatividade com vídeos pode fazer uma diferença. Se prepare para apresentar e evite ler durante a apresentação, quebre o gelo com o bom uso de analogias e assista algumas palestras no TED.com.
· No dia seguinte da palestra, deixe um chocolate e uma mensagem de agradecimento na mesa do colaborador, isso pode garantir que ele ou ela seja um novo influenciador do seu exército de gladiadores.
Enfim, como podem notar, as estratégias e formas distintas são inúmeras, basta ter criatividade fazendo um belo brainstorming com o time de segurança, pois afinal, como o sábio diz: “mas na multidão de conselhos há segurança”. Evidentemente que várias cabeças pensantes tem a probabilidade de gerar um resultado positivo no projeto e então vale a pena ponderar.
Uma outra dica é considerar a viabilidade de convidar especialistas de fornecedores de serviços de segurança ou mesmo CSOs e CISOs de outras organizações para falarem sobre um determinado tema e dividir a experiência. Lembrando que a didática é algo fundamental para interagir e manter as pessoas ligadas e aguçadas, embora fazer um mix entre o time local e recursos externos pode ser uma alternativa para economizar custos no projeto, pois existe aquele ditado que “o profeta de casa não faz milagres, mas uma boa dose de esforço e determinação pode ser a chave para o milagre”.
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
