O processo de conscientização dos usuários é um tema fundamental para que se mitigue risco de ataques classificados como “sociais”, já descritos neste texto, em outras palavras quanto mais os indivíduos entenderem as ameaças e os riscos, menor será a possibilidade de fraudes, invasões, coleta de informações, phishing, engenharia social e espionagem industrial.
O ciclo modelo, destacado na figura 01, ilustra um processo de treinamentos, palestras e conscientização que dão suporte para avaliação continuada e testes de conhecimento ou temas que são expostos a maior risco no comportamento dos usuários.
A seguir serão explorados cada etapa do ciclo.
Plano de Conscientização da Segurança da Informação e Privacidade de Dados
O plano de conscientização passa pelas etapas de trilhas que funcionam como um guia de treinamento e divulgação.
Conforme destacado na figura 02, o primeiro passo, ou mesmo sendo uma premissa para o início do plano, é a avaliação das políticas de segurança e privacidade de dados (LGPD) ao qual todos os usuários deverão ter acesso e estarem conscientes de seus deveres e direitos.
As políticas geram uma formalidade necessária, diminuindo o risco de comportamentos, não obstante, em caso de má fé, que os postulantes saibam das consequências de seus atos. Sem contar o entendimento de ferramentas de monitoramento de segurança da informação, como SIEM[1] e DLP[2], que possam proporcionar a detecção ativa de um vazamento de dados. A conformidade as leis e regulamentos internos é algo fundamental que seja demostrado e ratificados a todos os usuários.
Os treinamentos e palestras proporcionam a visão básica dos conceitos e de acordo com a trilha as informações relevantes para proteção dos usuários.
A continuidade de serviços são parte do modelo e possuem o intuito de preparar as equipes em caso de indisponibilidade, assim como aplicar os planos de continuidade de negócios.
______________________________
[1] Expressão refere-se ao SIEM (Security Information and Event Management) que é responsável por aglutinar e correlacionar registros dos sistemas para ataques, riscos, atividades e auditorias.
[2] DLP (Data Loss Prevention) é caracterizado por um software ou um conjunto de softwares que evitam o vazamento ou mesmo monitoram a perda de dados, proporcionados por violações e transmissões de extração de dados sem autorização.
Treinamentos e Palestras
Os treinamentos e palestras devem ter elo com as políticas, da maneira que o emprego de conceitos de tecnologia e segurança da informação seja seguida.
Os conceitos aplicados ou avançados que proporcionam maior utilização das ferramentas internas de empresas ou entidades.
Não obstante, a utilização de sistemas de gerenciamento de educacional – LMS (Learning Management System ou Sistemas de Gerenciamento do Conhecimento) – geram um grau de maturidade para que os gestores acompanhem o desenvolvimento e possam inclusive criar modelos de pontuação para participação testes do conhecimento.
As práticas de proteção podem ter um caráter didático e com relação de causa e efeito, em especial no foco no comportamento inadequado ou não intencional.
Informativos continuados
Os informativos continuados são instrumentos de divulgação rápida, como “pílulas” do conhecimento, boletins, vídeos, informativos entre outros que venham corroborar temas importantes sobre segurança e privacidade de dados.
Simulações ativas e passivas – Ferramentas
As simulações ativas são ações tecnológicas que testam o entendimento e o grau de comportamento dos indivíduos como campanhas de phishing ou instrumentos utilizados pelos fraudadores para implicação de dados ou mesmo instalação de software maliciosos.
As simulações passivas são feedbacks de testes ou ferramentas que monitoram o comportamento de pessoas para que se tenha o mapeamento dos grupos ou indivíduos que necessitam de atenção e novos ciclos de conscientização.
Resultados e melhoria continuada
Os resultados obtidos pelas simulações acarretam uma melhoria continuada no programa preventivo e dos treinamentos empregados no plano.
Por fim, o modelo de adoção de um programa de capacitação é um dos pilares para que a proteção contra ataques direcionados via engenharia social. A atenção e conscientização geram uma camada de segurança fundamental contra fraudes e ações direcionadas ao erro humano.
Andrey Guedes Oliveira
Diretor da Esyner Cyber Security, Especialista em Segurança da Informação, Professor de Tecnologia da UNIP, Mestre em Telecomunicações pela PUC, MBAs em Gestão Empresarial e Projetos.
