Como educar os funcionários sobre cibersegurança?

13 dez 2018

Os colaboradores são o patrimônio mais valioso de uma empresa: geram lucro, constroem relacionamentos com clientes e, é claro, desempenham papéis inestimáveis no perímetro de segurança de uma empresa.

No entanto, os cibercriminosos tendem a ver seus colaboradores como o caminho de menor resistência para uma organização. Na América do Norte, por exemplo, duas das maiores causas de violações são ações descuidadas ou desinformadas de colaboradores, ataques de phishing ou outra forma de engenharia social. Os criminosos sabem disso e se aproveitam disso para tirar vantagem.

Com um sólido programa de educação em segurança, sua empresa pode proteger as informações mais importantes, ao garantir que cibercriminosos não sejam capazes de ultrapassar o seu firewall de funcionários.

Recebemos muitas perguntas sobre as melhores práticas de cibersegurança para o ambiente de trabalho, então pedimos para Barton Jokinen, líder de Segurança da Informação e Conformidade para as Américas da Kaspersky Lab, que respondesse as mais frequentes.

Kaspersky Daily: O que é cibersegurança?
Jokinen: A cibersegurança tem muitas definições e o termo é amplo. Nesta discussão, a cibersegurança é a prática de defender sistemas e dados contra ataques maliciosos, o que inclui segurança física e treinamento de conscientização.

KD: Qual o melhor programa de conscientização em cibersegurança disponível?
Jokinen: Os programas de conscientização em cibersegurança não são padronizados. Cada empresa terá necessidades diferentes de acordo com seus objetivos estratégicos de negócios, metas, análise de riscos e, até mesmo, vontade de arriscar. Assim, vale a pena questionar: “Como a cibersegurança auxilia os principais negócios da organização?”.

KD: Do ponto de vista da cibersegurança, no que as empresas devem pensar para proteger seu ambiente de trabalho?
Jokinen: As empresas frequentemente esquecem de três áreas quando pensam em cibersegurança.

1. Proteção e segurança física
O bem-estar dos colaboradores deve estar na vanguarda dos planos de cibersegurança de todas as organizações. Isso pode não parecer intuitivo quando o assunto é cibersegurança, ou simplesmente cibernético demais para a maioria. Porém, o crescente domínio de dispositivos da Internet das Coisas (IoT) indefiniu as fronteiras entre segurança física e cibersegurança. Câmeras de segurança sem fios gerenciadas por meio de uma interface Web ou uma fechadura inteligente que pode ser aberta com o smartphone de um funcionário – quando as coisas param de ser físicas e começam a ser cibernéticas

Muitas empresas possuem controles de ambiente e segurança física tradicional, mas esses grupos estão desconectados dos verdadeiros solucionadores de problemas. Em uma era de IoT, a cibersegurança e as equipes de TI são responsáveis por esforços de remediação. No ambiente de trabalho, esses sistemas muitas vezes compartilham os mesmos recursos de rede que o restante dos negócios. Conectar dispositivos inteligentes à rede principal é arriscado, pois oferece um ponto de entrada para que cibercriminosos em potencial acessem os recursos da rede corporativa.

Sistemas vulneráveis também podem ser usados para acessar sistemas de controle industrial (ICS) mal protegidos. Para organizações que executam infraestruturas críticas ou produção em ICS, uma análise detalhada de todos os sistemas envolvidos deve ser realizada. Essas redes também devem ser incluídas em qualquer esforço de cibersegurança no futuro.

Proteção descomplicada para pequenas empresas

2.Conscientização da situação de ativos e dados
A maioria das estruturas de cibersegurança se baseia em saber quais ativos (incluindo dados) uma organização possui: os sistemas e programas que processam os dados, quem pode acessá-los e onde são armazenados. Uma avaliação de riscos de cibersegurança com base em ativos conhecidos tornará possível determinar ameaças viáveis de forma mais completa. Isso permite que uma organização concentre seus recursos de cibersegurança onde são mais importantes.

3.Treinamento e conscientização em cibersegurança
A conscientização vai além de descobrir e catalogar ativos. Deve ser um esforço contínuo para educar funcionários sobre políticas, ameaças atuais e como lidar com elas. A engenharia social merece uma atenção especial, uma vez que ainda é o vetor de ataque mais comum e bem-sucedido.

As empresas devem oferecer treinamentos voltados para determinados cargos, e não apenas formações genéricas. Transforme o treinamento de conscientização em algo pessoal e divertido. Conte histórias e realize jogos educativos que darão suporte aos conceitos de sensibilização. Um programa desse tipo deve ser tudo, menos um teste.

Um bom programa é uma mistura de módulos presenciais/orientados por instrutor, on-line/individualizados, com base em cenários e pesquisas. Sempre recolha métricas para mostrar pontos fortes e fracos em programas de conscientização em segurança.

KD: Nossa equipe de TI é bem informada sobre cibersegurança. Por que deveriam passar por mais treinamento?
Jokinen: A educação em cibersegurança precisa ser uma prática comum em toda a organização. Os colaboradores são frequentemente citados como o “elo mais fraco”. Atualmente, são o vetor de ataque mais comum e por isso, devem ser tratados como qualquer outro ponto de vulnerabilidade na empresa.

KD: Realizamos diversos programas de treinamento, mas nenhum parece eficaz. O que devemos fazer?
Jokinen: Não é segredo nenhum que programas de treinamento tradicionais geralmente falham em alcançar a motivação e as mudanças de comportamento desejadas. Para criar um programa educacional eficaz, é preciso compreender o que está por trás de qualquer processo de ensino e aprendizagem. Quando o assunto é conscientização em cibersegurança, a chave para o sucesso é criar uma cultura de cibersegurança – uma que motive os funcionários a manterem práticas seguras nas suas vidas cotidianas fora do perímetro do escritório. Afinal de contas, o objetivo do treinamento de conscientização não é apenas oferecer conhecimento, mas modificar hábitos e formar novos padrões de comportamento.

Os produtos Kaspersky Security Awareness são um bom lugar para começar ou para corrigir um programa existente. Criamos essas soluções para todos os níveis da estrutura organizacional. Os produtos de treinamento por meio de computadores utilizam técnicas de aprendizagem modernas: gamificação, aprendizagem na prática e reforço constante favorecem a retenção de habilidades e evita a obliteração; e simular o comportamento e o ambiente de trabalho do colaborador chama a atenção dos usuários para seus interesses práticos. Esses fatores garantem que as habilidades sejam aplicadas.

Recomendações de cibersegurança para o local de trabalho

KD: Com que frequência os funcionários devem reportar atividades suspeitas?
Jokinen: As equipes de cibersegurança preferem que os funcionários reportem um falso positivo do que esperem até que algo “suspeito” se transforme em uma grande ameaça. Mas antes que possam relatar atividades suspeitas, os colaboradores precisam ser capazes de identificar o que é considerado suspeito.

Um sólido treinamento de conscientização em cibersegurança e seus materiais de reforço devem definir incidentes suspeitos por meio de exemplos, e ensinar como e quando reportá-los. Os funcionários devem então, ser encorajados a relatar qualquer atividade que pareça suspeita. Existem diferentes processo para isso: algumas empresas utilizam a central de serviços de TI, outras possuem um e-mail que gera uma tarefa para as equipes de segurança, e outras ainda podem solicitar que os colaboradores reportem o incidente aos seus gerentes.

Uma vez que saibam como identificar e reportar, o próximo passo é estabelecer políticas de resposta a incidentes. Essas políticas devem descrever os procedimentos e a responsabilidade do funcionário ao lidar com um incidente.

KD: O que pensa sobre as políticas de BYOD?
Jokinen: O BYOD (bring your own device – traga o seu próprio dispositivo, em português) se tornou uma abordagem cada vez mais popular. Os funcionários podem usufruir da flexibilidade de escolher onde e em qual dispositivo desejam trabalhar. E os empregadores se beneficiam da redução de custos de suporte para ativos de TI. Contudo, isso coloca os dados da empresa em grande risco. Permitir que funcionários usem aparelhos pessoais para trabalhar significa que eles estão “fora das vistas” dos controles de segurança tradicionais.

KD: Você é contra o sistema BYOD?
Jokinen: As empresas não precisam acabar com as suas políticas de BYOD, mas é crucial que estabeleçam políticas e procedimentos de segurança. Por exemplo, precisam separar o trabalho do lazer. Os dados da empresa devem ser processados apenas por programas examinados e protegidos pela organização. Isso pode parecer desafiador quando os usuários utilizam seus próprios dispositivos. Felizmente, ferramentas de gerenciamento de dispositivos móveis (MDM – mobile device management) existem. As MDMs podem separar e proteger os dados da empresa, examinar e aprovar programas, rastrear e excluir remotamente informações relacionadas com a empresa de dispositivos.

KD: Onde as pessoas podem encontrar mais recursos para educação contínua?
Jokinen:  A Kaspersky oferece diversos recursos para manter a conscientização contínua sobre ameaças e incidentes no mundo da cibersegurança: 

  • O Threatpost é uma das melhores fontes de informação de notícias sobre TI, segurança empresarial e análise de cibersegurança.
  • O Securelist oferece notícias, relatórios e pesquisas impressionantes sobre a indústria da cibersegurança.
  • O site sobre ameaças da Kaspersky Lab é atualizado regularmente com o panorama em constante mudança de ameaças e vulnerabilidades na cibersegurança.
  • O mapa Cyberthreat é uma ferramenta interativa que mostra, em tempo real, as ciberameaças ao redor do mundo.
  • E, claro, o Kaspersky Daily, nosso blog principal, possui textos relevantes para empresas e consumidores.