Em vários países do mundo, outubro é o o mês da conscientização sobre segurança digital. No Brasil, um dos principais desafios é conseguir que os usuários finais interiorizem conceitos e atitudes que possam reduzir a vulnerabilidade das empresas às tentativas de invasão. Trata-se de uma missão desafiadora.
Levantamento realizado na Austrália pela Forrester Consulting em outubro de 2020, a partir da entrevista com 1000 profissionais de empresas de várias verticais, mostra um quadro preocupante. 30% dos entrevistados admitiram não prestar atenção nas informações sobre políticas de cyber segurança compartilhadas durante treinamentos.
Para Arley Brogiato, Diretor da SonicWall América Latina e Caribe, a transformação de quadros como este exige a aliança entre o líder de RH e o CISO. “Só assim será possível somar, às melhores soluções de segurança digital, campanhas de RH capazes de conquistar o engajamento do colaborador às melhores práticas de segurança”.
Segundo Brogiato, as iniciativas de conscientização sobre esse ponto são urgentes. “O novo perímetro é a Internet e os acessos feitos à rede a partir de qualquer ponto, seja dentro da sede da empresa, seja em home office, seja em trânsito”. Essa profunda transformação intensificou a criticidade de tudo o que diz respeito à segurança digital.
Modelo híbrido de trabalho amplia riscos de segurança digital
Pesquisa realizada pela KPMG Brasil em agosto de 2021 corrobora essa visão. Esse estudo entrevistou 287 empresários para saber seus planos em relação ao retorno ao escritório. 85% disseram que será mantido o modelo híbrido de trabalho, com profissionais revezando sua presença na sede da empresa com momentos de teletrabalho.
“Essa realidade aumenta os riscos de cyber segurança”, alerta Brogiato. Os funcionários irão se conectar, se desconectar e se conectar de novo várias vezes por semana. Dependendo da maturidade digital da empresa e de seus colaboradores, isso pode significar a abertura a novos vetores de ataques.
Há formas criativas de aumentar o engajamento do usuário e reduzir os riscos.
Gamificação: No dicionário, “gamificação” significa a aplicação de estratégias de jogos (mecânicas e dinâmicas de jogos) a um ambiente profissional para incentivar a participação. Ao tornar o aprendizado sobre cyber segurança interativo e divertido, é possível fazer com que os participantes fiquem mais envolvidos com o conteúdo. Essa experiência permite aprender mais rápido e, ao mesmo tempo, reter o conteúdo na memória por muito mais tempo.
Estudo de caso: Treinamento baseado na análise de estudos de caso pelos usuários finais da empresa. A meta é selecionar um conhecido caso de invasão como, por exemplo, a Colonial Pipeline. Simulando o ambiente de uma escola de negócios, a tarefa é propor a um grupo pequeno o desenvolvimento de um paper mapeando as vulnerabilidades da cultura digital da empresa atacada e indicando soluções para evitar que situações como essas se repitam. O resultado dessa análise seria compartilhado num pequeno evento corporativo, com direito a prêmios às equipes com a melhor performance.
Entrevista com um hacker: contratar um hacker “do bem” para dar uma palestra curta aos colaboradores. A meta é criar uma espécie de “programa de entrevistas” com o hacker em que os próprios funcionários fariam perguntas sobre as falhas na cultura digital das empresas que colaboram para que os ataques sejam bem-sucedidos.
Análises de arquétipos: Com auxílio de consultorias de RH especializadas, criar um programa de conscientização em que os próprios colaboradores irão se “identificar” com arquétipos que medem o grau de maturidade digital da pessoa e quais conhecimentos e atitudes ainda deve conquistar para subir nessa escala. Esse tipo de dinâmica pode ser refeito meses depois, para aferir o quanto o colaborador evoluiu em sua conscientização cibernética.
O mais recente Relatório de Ameaças da SonicWall revela que o Brasil é um grande alvo das gangues digitais – o país é o quinto na lista das nações mais atacadas por ransomware, tendo sofrido cerca de 3,8 milhões de ataques desse tipo no primeiro semestre de 2021.
Desde agosto deste ano, iniciou-se a fiscalização da LGPD (Lei Geral de Proteção de Dados). Com isso, as empresas que sofrerem vazamentos de dados de clientes e colaboradores serão pesadamente punidas, com multas que podem chegar a R$ 50 milhões. “A adesão dos usuários às melhores práticas de cyber segurança é, portanto, urgente”, conclui Brogiato.
