*Por Rodrigo Jorge
O tema da segurança da informação está na agenda de muitas empresas, de todos os tipos e tamanhos. A julgar pelo o que vejo no mercado, eu diria que boa parte das lideranças reconhece a importância de um programa eficiente, que seja capaz de evitar incidentes causadores de grandes dores de cabeça e prejuízos diversos. Mas, discurso afiado e boa vontade nem sempre se traduzem em resultados satisfatórios.
Acredito que há uma incompreensão na concepção e no funcionamento dos programas de segurança de informação. E ela começa logo na tomada de decisão do investimento: geralmente, a maior parte da verba disponível é alocada na implementação de tecnologias, subestimando o peso humano nessa balança. A consequência dessa escolha é um arsenal tecnológico bonito de se ver aos olhos de quem vende e de quem compra, porém, pode ser insuficiente no dia a dia.
Para colocar a questão em números, recorro ao livro The Security Culture Playbook, referência no setor. De acordo com a obra, menos de 3% do montante aplicado em segurança da informação se refere a investimento na “Camada Humana da Segurança”, ou seja, em pessoas; por outro lado, 85% das brechas identificadas são atribuídas a falhas humanas, por exemplo a cliques em ataques de phishing; ferramentas de segurança mal configuradas e subutilizadas; servidores desatualizados ou mal configurados; inexistência de backups ou descuido com a autenticação do segundo fator de proteção; dentre diversas outras causas.
A partir dessa conclusão, podemos supor que a maioria dos programas de segurança de informação é elaborada a partir de uma visão míope e restrita. Afinal, não faz sentido alocar grande parte da verba na adoção de tecnologias se o principal gargalo é comprovadamente comportamental. Isso porque são as pessoas que tomam decisões; que definem controles e regras (e decidem se vão burlá-las); que escolhem e fazem as implementações de tecnologias. Ou seja, são elas, as pessoas, a camada essencial a ser observada e tratada.
Eu sei que o processo de conscientização e cultura não é fácil e nem simples. Recorrendo novamente ao livro mencionado, os autores Perry Carpenter e Kai Roer explicam que todo processo de transformação humana é complexo porque deve levar em conta três aspectos centrais:
1) Se você tentar trabalhar contra a natureza humana, falhará em todas tentativas;
2) O ser humano busca sempre a zona de conforto por natureza;
3) Não é porque as pessoas estão conscientes sobre o que é certo que elas não vão optar pelo errado;
Ou seja, a postura humana só pode ser transformada quando são aplicados os chamados 3cs: conscientização, comportamento e cultura. Do contrário, as tentativas provavelmente serão frustradas.
Como fazer isso na prática?
Deve criar um Programa de Conscientização, Comportamento e Cultura de Segurança da Informação. Comece por uma análise cuidadosa de como as pessoas se comportam dentro da organização, em quais situações elas estão mais expostas, em quais falham mais e tomam menos decisões seguras, etc. A partir daí, define-se uma Baseline (linha de base) com objetivos claros e mensuráveis para transformar essa realidade.
Sabendo onde se quer chegar, parte-se, então, para a utilização das ferramentas de treinamento e conscientização, a fim de modelar o comportamento das pessoas. Para isso existem diversas opções e ferramentas que oferecem simulações de ameaças (phishing, etc), treinamentos interativos, talks, gincanas, etc. Os programas de conscientização em geral já trazem essas ações, porém sem objetivos definidos quando falamos de modelagem de comportamento.
Dessa forma, quando falo em upgrade, me refiro à adoção de objetivos reais e à capacidade de trabalhar a modelagem do comportamento a partir das ferramentas já utilizadas em geral, medindo os resultados e buscando comportamentos cada vez mais seguros. Resumindo, deve-se medir, planejar, modelar, medir, ajustar, modelar, e assim sucessivamente, num ciclo que conhecemos bem, chamado PDCA.
Dessa forma, quero deixar algumas dicas, que pode facilitar para você leitor, trabalhar o seu programa:
1) Todas as pessoas da organização, independentemente do nível hierárquico devem fazer parte, do Presidente/CEO ao estagiário. Isso inclui também os profissionais de TI e Segurança da Informação;
2) Mapeie todas portas de entrada de ameaças às pessoas da organização e dentro das atividades de conscientização, crie simulações para cada tipo de ameaça;
3) Construa um programa mensurável, ou seja, que você possa acompanhar e visualizar a evolução do comportamento das pessoas os resultados em uma linha do tempo que é contínua;
4) Entenda que novos colaboradores precisam de uma atenção especial ao chegarem, pois não tiveram acesso ao que os mais antigos já tiveram no seu programa e estes representam uma ameaça maior. Crie atividades específicas para os primeiros meses dos novatos;
5) Segurança deve ser parceira do negócio e existe para viabilizar o funcionamento da organização. Quando ela passar a atrapalhar o bom andamento das atividades a partir de proibições, bloqueios, etc ela ganhará antipatia e o usuário contrariado, irá sempre sabotar a segurança quando tiver oportunidade;
6) O programa precisa ser o mais “leve” possível. Isso não significa ter poucas ações, mas, sim, evitar que ele seja pesado dentro da organização. Ou seja, o programa de segurança deve ser atraente para os colaboradores, sem antipatia, sem exposição dos erros, capaz de gerar uma imagem construtiva e incluir a todos, afinal, segurança e responsabilidade devem ser compartilhadas na organização.
Em resumo, um programa de segurança de informação adequado é aquele que não somente cumpre os pré-requisitos de se realizar ações de conscientização e testes de phishings, mas tem condições de ir além com métricas e números para gerenciar e modelar o comportamento das pessoas, ajudando sempre o negócio. Uma vez que todos os colaboradores estão conscientes de suas responsabilidades e agem na mesma direção, os riscos se tornam cada vez mais escassos pois a cultura de segurança passa a de fato existir.
*Rodrigo Jorge é CISO na Neoway
