Cinco mitos sobre conscientização de segurança nas empresas

Diego Macêdo
14 de fevereiro de 2013
Nenhum comentário

Há muitos mitos quando assunto é treinamento de conscientização de segurança. Aqui estão alguns deles e saiba por que eles eles estão errados.

1. Treinamento não funciona

Ouvi muitas vezes as pessoas dizerem: “Conscientização não funciona. Nunca vi um programa de sensibilização realmente mudar o comportamento das pessoas”.

Para ser honesto, tenho de concordar com essa afirmação. A maioria dos programas de conscientização, no passado, não conseguiu mudar o comportamento de usuários. No entanto, acontece porque a maioria dos programas no passado não foi projetado para mudar o comportamento. Seu único objetivo era atender aos requisitos de conformidade. Como resultado, o mínimo foi investido.

Os programas básicos de conscientização são aqueles que alguém realiza uma apresentação no PowerPoint uma única vez por ano, ou talvez envia uma newsletter trimestral sobre consciência de segurança. Um programa bem-sucedido é aquele que foi projetado, desde o início, para mudar o comportamento do usuário.

2. Não vale a pena porque sempre alguém vai atrapalhar o sucesso do programa de conscientização

As pessoas me dizem que a conscientização é um fracasso, que não importa o quanto você treine as pessoas, há sempre um pequeno grupo de pessoas que ainda é vítima. Lembre-se que segurança é sobre a redução de riscos, não sua eliminação.

A conscientização é mais um controle de segurança. Ela não é diferente de criptografia, firewalls ou detecção de intrusão. No entanto, com conscientização, é possível obter um enorme retorno do investimento, em muitos casos, a redução do risco humano chega a até 95%, de acordo com medições realizadas em testes de phishing.

3. As pessoas já sabem o que fazer

Li relatos interessantes de acadêmicos que dizem que as pessoas já sabem quais comportamentos seguros seguir. No entanto, elas optam por não segui-las. Nas organizações que trabalho, não só as pessoas geralmente não têm ideia de quais comportamentos seguros devem seguir, como também estão com fome de aprender. Elas sabem que há bandidos online, mas não sabem o que fazer para se proteger deles. O problema não são as pessoas.

O problema é a formação deles. As pessoas não têm ideia de que manter os sistemas operacionais e aplicativos atuais é fundamental para manter seus computadores e dispositivos móveis seguros.

4. É tudo sobre prevenção

Quando as pessoas discutem conscientização, elas costumam se concentrar em apenas prevenção. Elas estão tentando implementar a ideia do “firewall humano”. A prevenção é importante. Então, por que não treinar as pessoas para se tornar sensores humanos também?

Oriente os trabalhadores sobre indicadores e como reportar possíveis incidentes. Por exemplo, se você está fazendo as avaliações de phishing internamente, não deve apenas controlar quantas pessoas são vítimas, mas também quantos detectam e relatam os ataques.

5. É simples

Muitas pessoas acreditam que a criação de um programa de conscientização é simples. Se o seu único objetivo é o cumprimento, então, sim, programas de conscientização são simples. Mas se você quiser efetivamente reduzir o risco e mudar o comportamento humano, é preciso ter um plano. Para isso, é preciso identificar quem está participando do programa, o que muda no comportamento ao reduzir os maiores riscos na organização, e como você vai se envolver e comunicar essas mudanças.

(*) Lance Spitzner é diretor de treinamento do SANS Securing the Human Program, empresa de treinamento

via Cinco mitos sobre conscientização de segurança nas empresas

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *