Aprendizado e descoberta 5min de Leitura - 30 de junho de 2022

Conscientização em segurança digital: o que exatamente ensinar aos funcionários?

Conscientização em segurança digital

This post is also available in: Português Español

A conscientização sobre segurança digital é essencialmente sobre a sua atitude em relação à segurança, privacidade e ameaças virtuais no trabalho e em casa. Assim, é uma habilidade que se aprende, e que pode ser melhorada com o tempo.

Em qualquer empresa, a conscientização sobre o tema é um processo contínuo que começa com o treinamento dos funcionários sobre os princípios e ameaças básicos de segurança, e continua com os exercícios práticos a respeito do assunto. O objetivo é criar um ambiente em que as pessoas se sintam capacitadas para serem participantes ativas de sua própria segurança, deixando de lado o estigma de vítimas fáceis frente a crimes cibernéticos sofisticados.

Nesse contexto, um programa de conscientização de segurança bem planejado começa com uma compreensão clara das ameaças, metas, objetivos, públicos e recursos disponíveis. A cultura organizacional também desempenha um papel importante na determinação do que é razoável e realista para a empresa, levando em consideração os perfis dos colaboradores e seu grau de instrução.

À medida que legislações como a LGPD tornam-se cada vez mais difundidas, muitas empresas procuram o treinamento de conscientização sobre segurança cibernética como um meio de garantir que sua equipe tenha o nível certo de compreensão da proteção de dados para cumprir esses regulamentos.

Eficácia da conscientização de segurança digital

Já está bastante claro que o treinamento de conscientização sobre segurança digital é muito eficiente. Afinal, é uma grande ajuda na resiliência e na resposta a ataques. Basta entender que existe uma grande diferença entre como se responde a uma invasão se apenas uma pessoa clicar em um link de phishing versus 100 pessoas. Ou seja, dos males o menor.

E não se trata apenas de clicar; trata-se também de relatar. Os funcionários podem ser a primeira linha de defesa, e uma equipe bem treinada relatará rapidamente uma possível ameaça. Quanto mais cedo se detectar o perigo, melhor poderá lidar com ele. Afinal, segurança digital vai além de tecnologia, englobando pessoas e processos.

Dito isso, é importante definir expectativas e metas claras, medindo continuamente a eficácia do programa – o que inclui mensurar o engajamento e a satisfação geral da equipe.

Frequência

Os debates sobre a frequência com a qual se deve fazer o treinamento são intermináveis. Motivo: não é uma ciência exata, pois depende das condições de cada empresa.

Entretanto, uma boa saída é realizar pequenas sessões de treinamento de maneira contínua. Dessa maneira, é possível fazer com que as informações estejam “frescas” na mente dos funcionários, sem sobrecarregá-los com muitos dados de uma só vez.

Também existe espaço para treinamentos mais densos, com intervalos maiores, pelo menos uma vez por ano, de preferência nos primeiros três meses, para atualizar os colaboradores sobre as ameaças virtuais mais recentes.

Juntamente aos conteúdos didáticos, é importante ter mecanismos para avaliar o aprendizado e a evolução do time. Existem plataformas que auxiliam em todo o processo de treinamento, desde o estabelecimento de uma cronologia até a avaliação do aprendizado.

Implementar a cultura de segurança em uma empresa é uma iniciativa que normalmente parte do time de tecnologia, contudo, é importante envolver outros setores como RH e Marketing, para apoio no processo. Afinal, grande parte do treinamento é sobre comunicação e engajamento. Essas equipes adicionais podem ajudar com materiais extras que colaboram na adesão.

O quê abordar

  • 1. Phishing, Spear Phishing e Engenharia Social
  • Phishing não surge apenas em e-mails, pois está em toda parte – mensagens de texto, SMS, anúncios, Google Maps, mídia social, jogos, App Store e até mesmo em sites colaborativos. Assim, phishing é um tópico central em qualquer treinamento de conscientização de segurança. A melhor maneira de evitar golpes do tipo é saber quais são essas fraudes, como elas funcionam e como detê-las. Lembre-se: phishing é muito sorrateiro e vive se transformando para voltar à tona com novos disfarces. Seu objetivo é atacar sem ser percebido.

  • 2. Autenticação Multifator
  • Todos – literalmente todos – precisam saber sobre a autenticação multifator (MFA). O motivo é que isso pode, sem exageros, salvar uma empresa da falência. Se você não ativou a MFA e sua conta foi invadida, os cibercriminosos podem habilitá-la para impedir que você tente redefinir sua senha e recupere a conta. Ainda assim, sempre há quem ainda não utilize esse recurso, e são essas as pessoas que mais precisam de conscientização.

  • 3. Senha forte
  • Parece mentira, mas “123456” ainda é uma das senhas mais comuns. Uma das razões é que várias pessoas preferem a conveniência à segurança. Mostrar a elas como criar senhas fortes que também sejam fáceis de lembrar ou gerenciar ainda é um tópico central de conscientização de segurança.

  • 4. Ransomware
  • Não existe uma solução definitiva para ransomware. No entanto, pode-se reduzir significativamente o risco ensinando a equipe a identificar um possível ataque dessa natureza. No caso de ser atingido por um ransomware, é igualmente importante estar preparado e ter um plano sobre como proceder, fazendo com que os funcionários saibam identificar o ataque o quanto antes – e não dar brechas para que aumente seu dano.

  • 5. Shadow IT
  • Shadow IT é um termo que se refere à forma como os funcionários usam a tecnologia sem a aprovação do time de tecnologia e direção. Shadow em inglês significa “sombra”, ou seja, é quando os funcionários utilizam recursos não autorizados.

    No entanto, existem muitos plug-ins, widgets e outras ferramentas auxiliares que nos espionam sem percebermos. Por exemplo, um verificador gramatical – para corrigir a ortografia, eles precisam saber tudo o que digitamos para atuar corretamente. Algumas dessas ferramentas são como keyloggers, que enviam tudo o que digita para a nuvem. Sua equipe pode estar enviando dados muito confidenciais para terceiros, o que não é apenas um risco de segurança, mas também um risco de conformidade – algo no qual a LGPD está de olho.

  • 6. Wi-Fi público
  • Wi-fi público basicamente significa compartilhar o mesmo Wi-fi com estranhos. Afinal, é mais fácil para outra pessoa obter suas informações pessoais se ela tiver acesso à mesma rede que você. Esse tem sido um tema popular por muitos anos. Hoje em dia, com tantas pessoas em home office, trabalhando em cafés e viajando, é ainda mais relevante – e não pode faltar em um treinamento de conscientização de segurança.

  • 7. Fraude Eletrônica
  • Quem for enganado a ponto de transferir dinheiro para uma conta bancária fake, pode ter certeza de que o banco talvez não consiga ajudar em nada. Afinal, foi a própria pessoa que fez a ação de transferir o dinheiro; não foi um cibercriminoso que invadiu a conta e retirou o que pôde de lá. Fraudes assim estão afetando a todos, e não apenas as grandes empresas. A cada ano, bilhões são perdidos com esse tipo de golpe. Infelizmente, o tempo todo surgem novas maneiras de enganar as pessoas por meios virtuais, então naturalmente é um tópico que precisa estar no curso.

  • 8. Segurança Móvel
  • Dá para confiar cegamente 100% do tempo na App Store da Apple? Ou na Google Play? Infelizmente, aplicativos maliciosos também estão nessas lojas de aplicativos. Por isso, saber o que fazer antes e depois de baixar um app pode deve ser um hábito.

    Os cibercriminosos também estão enviando mensagens de texto fraudulentas (também conhecidas como smishing) porque é algo muito eficaz. Esses golpes são bem sorrateiros, agindo na surdina – os golpistas da internet não medem esforços na hora de lançar phishing. Afinal, esse é o “trabalho” deles, e muito raramente tiram férias.

  • 9. Dispositivos Externos e Segurança Física
  • O que impede um cibercriminoso de trabalhar temporariamente como funcionário de hotel e usar um dispositivo USB para instalar malware em seu laptop? É algo que está longe de ser cena de cinema, e ainda assim é baseado na realidade. Seja como for, é essencial que exista um tópico sobre cuidados com os equipamentos móveis, principalmente para representantes comerciais e instaladores, já que seus cargos envolvem a atuação em campo em muitos lugares. Eles podem pegar algum vírus externamente e trazer para dentro da empresa assim que retornam à sede, ou mesmo quando enviam algo por e-mail aos colaboradores da matriz.

  • 10. Administradores

Muitas vezes, na hora de instalar algo, as pessoas simplesmente aceitam os padrões e vão clicando no botão de “próximo” ou “ok” sem ler completamente o conteúdo. Algumas das piores invasões resultam do uso de configurações padrão, como o usuário e as senhas “admin”. Isso acontece por falta de conscientização ou descuido na comunicação entre o desenvolvedor do aplicativo, o administrador de TI e a equipe de segurança. Quem é responsável por proteger o servidor/aplicativo? A segurança cibernética deve ser responsabilidade de todos, e é disso que se trata a conscientização de segurança.

This post is also available in: Português Español