A melhor forma de conquistar o usuário como aliado em um processo de gestão da segurança da informação é tornando-o consciente das suas responsabilidades e dos riscos que enfrentará em seu dia a dia. Devemos agir com sinceridade e apresentar sem rodeios o cenário que se faz presente. Se estivermos em uma empresa que possui uma área de engenharia, o engenheiro deve estar ciente da possibilidade de vazamento ou corrupção da informação; a área comercial da mesma forma, preocupada com a confidencialidade, disponibilidade, integridade e privacidade da informação, e nas conseqüências que este comprometimento pode acarretar.
A conscientização de segurança deve ser vista como auxiliar indispensável aos controles tecnológicos planejados ou já implementados. Igualmente importante se comparada a um firewall, um sistema de detecção de intrusos ou um sistema biométrico, a cultura organizacional pode trazer grandes benefícios para a organização; o principal deles sem dúvida alguma é o comprometimento.
Um usuário comprometido é um grande aliado, tanto na utilização segura da infomação, quanto no mapeamento de riscos ainda não identificados. É uma cadeia de conhecimento importantíssima formada a partir da conscientização e educação. Quanto maior for o conhecimento deste usuário, maior será sua capacidade de julgamento, refletindo em uma postura próativa, madura e coerente (eficiente) frente às suas responsabilidades no processo de segurança.
A prática do treinamento em segurança, ainda tão pouco utilizada no Brasil, realiza na organização o sentimento da existência de uma direção clara frente as práticas consideradas pelos gestores do negócio, como adequadas no trato com a informação. Não há mais espaço para o formalismo burocratizado das Políticas de Segurança criadas para satisfazer a auditoria. A consolidação de uma “cultura de segurança” é de indiscutível relevância quando analisamos ameaças internas (fraude, mau uso da informação, sabotagem, etc).
Nossa realidade tecnológica impõe ao usuário um uso multifacetado da tecnologia. São rotinas, responsabilidades, privilégios dentre outros, que fazem do usuário um dos mais vulneráveis elos da cadeia de segurança. Para vencer o desafio de trazer à naturalidade o controle da informação, deve-se apresentar ao usuário - em um exercício prático -, qual a importância do seu papel na gestão da informação. Ao invés de perceber a segurança como um adicional à sua atividade, o usuário deverá reconhecer a segurança como parte da sua atividade.
O ciclo básico do Security Awareness segue o modelo D3/AET. Este modelo vem sendo utilizado em função da estrutura de framework que disponbiliza, baseado nas melhores práticas para formação de uma cultura organizacional. Todos os funcionários devem ser avaliados, treinados e novamente avaliados.
O modelo D3/AET traz na forma abreviada a união das primeiras letras de Diagnose, Development, Definition/Awareness, Education (e) Training. A modelagem organiza-se da seguinte forma:
1. Diagnose - Diagnóstico do nível de cultura de segurança da organização
2. Definition - Definição da estratégia de implementação da cultura
3. Development - Desenvolvimento do material para implementação da estratégia
Awareness - Conscientização;
Education - Educação;
Training - Treinamento
Diagnóstico do nível de cultura: essencial a um projeto desta natureza, o diagnóstico vai apontar o nível de cultura atual na organização. O resultado desta avaliação deve ser apresentado preferencialmente em indicadores quantitativos. Algo do tipo: “Departamento Comercial alcançou um desempenho de 80% no conhecimento da política de antivírus”. É importante que já exista uma Política implementada; não faz sentido avaliar a cultura de segurança dos usuários se não existirem parâmetros para o certo e errado.
Definição da estratégia de implementação: este é o momento onde definiremos qual é a melhor maneira para alcançarmos os objetivos almejados. Existem diversas estratéggias para implementação. É importante frisar que mesmo em um plano teórico, já é o momento de identificar volume de investimento na campanha de divulgação, no suporte e no reforço a cultura de segurança da informação da organização.
Desenvolvimento do material para implementação da estratégia: o material que será utilizado para a divulgação da cultura deve ser confeccionado preferencialmente por uma equipe de marketing (endomarketing), em colaboração e com assessoria do Security Officer. Oferecer um conteúdo de fácil digestão quando se fala em segurança da informação, pode não ser um desafio tão simples. Uma boa sugestão é a criação de um simpático mascote com a intenção de tornar o processo de divulgação algo agradável aos olhos do usuário. Lembre-se da regra de ouro: não se conquista aliados com coação. Dizer que todos serão monitorados e comportamentos inadequados serão punidos, pode ser uma faca de dois gumes. Ao invés de amedrontar, a prática nos dá provas de que o melhor é encorajá-los a participar como agentes no controle da informação.
Awareness: o usuário só estará comprometido com a segurança da informação quando for capaz de compreender a importância da sua participação efetiva no processo de gestão da segurança. A conscientização deve despertar para uma visão instintiva. Um insight. O que até então nem era percebido, passa a fazer parte quase que natural do pensamento deste usuário. Sabe aquele cuidado que temos ao sair do carro à noite? Checar se os vidros estão fechados mesmo quando guardamos o carro na garagem. É natural, não? Esta é a chave do sucesso.
Educação: O processo de educação torna claro aos funcionários que a organização está preocupada com a informação. Assim há o resguardo da organização quanto ao “dito pelo não dito”, é a caracterização do seu due care. É suficiente apoiar a divulgação em dez objetivos ou metas, tratando pontos que reflitam o pensamento da organização frente aos riscos que mais a preocupam. Alguns exemplos de tópicos que podem ser abordados:
Vírus de Computador e Cavalo de Troia
Uso de e-mail com segurança
Uso de senhas seguras
Uso da internet com segurança
Práticas de Backup
É interessante que estas palestras não passem de 50 minutos e que ao final, o usuário possa ser avaliado sem sentir que com isso será julgado ou punido. Este tipo de teste deve seguir o carater de “orientação”.
Treinamentos: são divididos os grupos para o treinamento. Geralmente são disponibilizadas turmas de maneira que estejam juntos os grupos de interesse como, por exemplo, departamento comercial, engenharia, diretoria e etc. Desta forma pode-se personalizar o discurso e direcionar o conhecimento àquilo que se aplica às atividades de cada setor, departamento ou unidade. Os treinamentos incorporam o cuidado de segurança à rotina do usuário. Criar uma rotina nos poupa energia e automatiza o acerto.
Uma boa didática, sintonizada com a expcetativa da audiência, utilização de um material rico em exemplos e com bons insights podem ser decisivos para se alcançar êxito na aceitação do usuário. No começo pode ser um pouco dificil organizar uma apresentação com a fórmula certeira para conquistar o público, mas com o passar do tempo e com o feedback dos próprios usuários, a empresa acabará formatando seu modus operandi.
- x - x-
Apesar da simplicidade com o qual o assunto Security Awareness foi aqui exposto, espero sinceramente que possa depertar para ações imediatas o pensamento dos gestores de segurança da informação que nos deram seu precioso tempo na leitura deste artigo. Se quisermos garantir a segurança incondicional da informação, devemos aprender que avaliar o risco é lidar com o imprevisto: conscientizar, educar, treinar significa fazer deste risco um ideal compartilhado entre todos os componentes humanos, parte do processo de valor de uma organização. Administrar o risco, mais do que escondê-lo, é trazê-lo em evidência para quem possa interessar.
A conscientização de segurança deve ser vista como auxiliar indispensável aos controles tecnológicos planejados ou já implementados. Igualmente importante se comparada a um firewall, um sistema de detecção de intrusos ou um sistema biométrico, a cultura organizacional pode trazer grandes benefícios para a organização; o principal deles sem dúvida alguma é o comprometimento.
Um usuário comprometido é um grande aliado, tanto na utilização segura da infomação, quanto no mapeamento de riscos ainda não identificados. É uma cadeia de conhecimento importantíssima formada a partir da conscientização e educação. Quanto maior for o conhecimento deste usuário, maior será sua capacidade de julgamento, refletindo em uma postura próativa, madura e coerente (eficiente) frente às suas responsabilidades no processo de segurança.
A prática do treinamento em segurança, ainda tão pouco utilizada no Brasil, realiza na organização o sentimento da existência de uma direção clara frente as práticas consideradas pelos gestores do negócio, como adequadas no trato com a informação. Não há mais espaço para o formalismo burocratizado das Políticas de Segurança criadas para satisfazer a auditoria. A consolidação de uma “cultura de segurança” é de indiscutível relevância quando analisamos ameaças internas (fraude, mau uso da informação, sabotagem, etc).
Nossa realidade tecnológica impõe ao usuário um uso multifacetado da tecnologia. São rotinas, responsabilidades, privilégios dentre outros, que fazem do usuário um dos mais vulneráveis elos da cadeia de segurança. Para vencer o desafio de trazer à naturalidade o controle da informação, deve-se apresentar ao usuário - em um exercício prático -, qual a importância do seu papel na gestão da informação. Ao invés de perceber a segurança como um adicional à sua atividade, o usuário deverá reconhecer a segurança como parte da sua atividade.
O ciclo básico do Security Awareness segue o modelo D3/AET. Este modelo vem sendo utilizado em função da estrutura de framework que disponbiliza, baseado nas melhores práticas para formação de uma cultura organizacional. Todos os funcionários devem ser avaliados, treinados e novamente avaliados.
O modelo D3/AET traz na forma abreviada a união das primeiras letras de Diagnose, Development, Definition/Awareness, Education (e) Training. A modelagem organiza-se da seguinte forma:
1. Diagnose - Diagnóstico do nível de cultura de segurança da organização
2. Definition - Definição da estratégia de implementação da cultura
3. Development - Desenvolvimento do material para implementação da estratégia
Awareness - Conscientização;
Education - Educação;
Training - Treinamento
Diagnóstico do nível de cultura: essencial a um projeto desta natureza, o diagnóstico vai apontar o nível de cultura atual na organização. O resultado desta avaliação deve ser apresentado preferencialmente em indicadores quantitativos. Algo do tipo: “Departamento Comercial alcançou um desempenho de 80% no conhecimento da política de antivírus”. É importante que já exista uma Política implementada; não faz sentido avaliar a cultura de segurança dos usuários se não existirem parâmetros para o certo e errado.
Definição da estratégia de implementação: este é o momento onde definiremos qual é a melhor maneira para alcançarmos os objetivos almejados. Existem diversas estratéggias para implementação. É importante frisar que mesmo em um plano teórico, já é o momento de identificar volume de investimento na campanha de divulgação, no suporte e no reforço a cultura de segurança da informação da organização.
Desenvolvimento do material para implementação da estratégia: o material que será utilizado para a divulgação da cultura deve ser confeccionado preferencialmente por uma equipe de marketing (endomarketing), em colaboração e com assessoria do Security Officer. Oferecer um conteúdo de fácil digestão quando se fala em segurança da informação, pode não ser um desafio tão simples. Uma boa sugestão é a criação de um simpático mascote com a intenção de tornar o processo de divulgação algo agradável aos olhos do usuário. Lembre-se da regra de ouro: não se conquista aliados com coação. Dizer que todos serão monitorados e comportamentos inadequados serão punidos, pode ser uma faca de dois gumes. Ao invés de amedrontar, a prática nos dá provas de que o melhor é encorajá-los a participar como agentes no controle da informação.
Awareness: o usuário só estará comprometido com a segurança da informação quando for capaz de compreender a importância da sua participação efetiva no processo de gestão da segurança. A conscientização deve despertar para uma visão instintiva. Um insight. O que até então nem era percebido, passa a fazer parte quase que natural do pensamento deste usuário. Sabe aquele cuidado que temos ao sair do carro à noite? Checar se os vidros estão fechados mesmo quando guardamos o carro na garagem. É natural, não? Esta é a chave do sucesso.
Educação: O processo de educação torna claro aos funcionários que a organização está preocupada com a informação. Assim há o resguardo da organização quanto ao “dito pelo não dito”, é a caracterização do seu due care. É suficiente apoiar a divulgação em dez objetivos ou metas, tratando pontos que reflitam o pensamento da organização frente aos riscos que mais a preocupam. Alguns exemplos de tópicos que podem ser abordados:
Vírus de Computador e Cavalo de Troia
Uso de e-mail com segurança
Uso de senhas seguras
Uso da internet com segurança
Práticas de Backup
É interessante que estas palestras não passem de 50 minutos e que ao final, o usuário possa ser avaliado sem sentir que com isso será julgado ou punido. Este tipo de teste deve seguir o carater de “orientação”.
Treinamentos: são divididos os grupos para o treinamento. Geralmente são disponibilizadas turmas de maneira que estejam juntos os grupos de interesse como, por exemplo, departamento comercial, engenharia, diretoria e etc. Desta forma pode-se personalizar o discurso e direcionar o conhecimento àquilo que se aplica às atividades de cada setor, departamento ou unidade. Os treinamentos incorporam o cuidado de segurança à rotina do usuário. Criar uma rotina nos poupa energia e automatiza o acerto.
Uma boa didática, sintonizada com a expcetativa da audiência, utilização de um material rico em exemplos e com bons insights podem ser decisivos para se alcançar êxito na aceitação do usuário. No começo pode ser um pouco dificil organizar uma apresentação com a fórmula certeira para conquistar o público, mas com o passar do tempo e com o feedback dos próprios usuários, a empresa acabará formatando seu modus operandi.
- x - x-
Apesar da simplicidade com o qual o assunto Security Awareness foi aqui exposto, espero sinceramente que possa depertar para ações imediatas o pensamento dos gestores de segurança da informação que nos deram seu precioso tempo na leitura deste artigo. Se quisermos garantir a segurança incondicional da informação, devemos aprender que avaliar o risco é lidar com o imprevisto: conscientizar, educar, treinar significa fazer deste risco um ideal compartilhado entre todos os componentes humanos, parte do processo de valor de uma organização. Administrar o risco, mais do que escondê-lo, é trazê-lo em evidência para quem possa interessar.