O processo de conscientização dos usuários é um tema fundamental para que se mitigue risco de ataques classificados como “sociais”, já descritos neste texto, em outras palavras quanto mais os indivíduos entenderem as ameaças e os riscos, menor será a possibilidade de fraudes, invasões, coleta de informações, phishing, engenharia social e espionagem industrial.
A crescente sofisticação dos ataques cibernéticos, especialmente os baseados em engenharia social, evidencia que a fragilidade mais explorada pelas ameaças digitais continua sendo o comportamento humano. Portanto, a conscientização e o treinamento contínuo dos usuários representam um dos pilares da defesa organizacional contra fraudes, phishing, vazamentos de dados e espionagem industrial.
Pesquisas recentes apontam que mais de 85% dos incidentes de segurança da informação envolvem erro humano em alguma etapa do processo (VERIZON, 2023). Assim, quanto maior o nível de entendimento dos indivíduos sobre ameaças, riscos e boas práticas, menor será a superfície de exposição das organizações a ataques baseados em interação humana (SILVA; BASTOS; FREITAS, 2022)
O ciclo modelo, destacado na figura 01, apresenta uma abordagem estruturada de treinamento e capacitação contínua, que envolve ciclos de avaliação, comunicação, simulação, feedback e reavaliação. Esse processo dinâmico garante que o conhecimento se mantenha atualizado e adaptado às novas ameaças emergentes.
A seguir serão explorados cada etapa do ciclo, inspirado em frameworks como o NIST SP 800-50, incorpora elementos pedagógicos e tecnológicos para influenciar positivamente o comportamento dos usuários, criando um verdadeiro “Firewall Mental” (SILVA et al., 2020).
Plano de Conscientização da Segurança da Informação e Privacidade de Dados
O plano de conscientização passa pelas etapas de trilhas que funcionam como um guia de treinamento e divulgação.
A elaboração de um plano de conscientização eficaz começa com a avaliação das políticas internas de segurança da informação e privacidade, incluindo o alinhamento à Lei Geral de Proteção de Dados (LGPD) e outras normas vigentes. Esse passo é fundamental para estabelecer as bases legais, éticas e comportamentais da conduta esperada dos usuários (PINHEIRO; RAMOS, 2021).
Conforme destacado na figura 02, o primeiro passo, ou mesmo sendo uma premissa para o início do plano, é a avaliação das políticas de segurança e privacidade de dados (LGPD) ao qual todos os usuários deverão ter acesso e estarem conscientes de seus deveres e direitos.
As políticas geram uma formalidade necessária, diminuindo o risco de comportamentos, não obstante, em caso de má fé, que os postulantes saibam das consequências de seus atos. Sem contar o entendimento de ferramentas de monitoramento de segurança da informação, como SIEM[1] e DLP[2], que possam proporcionar a detecção ativa de um vazamento de dados. A conformidade as leis e regulamentos internos é algo fundamental que seja demostrado e ratificados a todos os usuários.
Os treinamentos e palestras proporcionam a visão básica dos conceitos e de acordo com a trilha as informações relevantes para proteção dos usuários.
A continuidade de serviços são parte do modelo e possuem o intuito de preparar as equipes em caso de indisponibilidade, assim como aplicar os planos de continuidade de negócios.
Treinamentos e Palestras
Os treinamentos e palestras devem ter elo com as políticas, da maneira que o emprego de conceitos de tecnologia e segurança da informação seja seguida.
Os conceitos aplicados ou avançados que proporcionam maior utilização das ferramentas internas de empresas ou entidades.
Não obstante, a utilização de sistemas de gerenciamento de educacional – LMS (Learning Management System ou Sistemas de Gerenciamento do Conhecimento) – geram um grau de maturidade para que os gestores acompanhem o desenvolvimento e possam inclusive criar modelos de pontuação para participação testes do conhecimento. Segundo Carvalho (2020), a adoção de LMS permite mapear lacunas cognitivas, atribuir trilhas específicas de aprendizado e criar modelos de pontuação, promovendo engajamento e melhoria contínua.
As práticas de proteção podem ter um caráter didático e com relação de causa e efeito, em especial no foco no comportamento inadequado ou não intencional.
Informativos continuados
Os informativos continuados são instrumentos de divulgação rápida, como “pílulas” do conhecimento, boletins, vídeos, informativos entre outros que venham corroborar temas importantes sobre segurança e privacidade de dados.
Os instrumentos como newsletters, vídeos curtos, cartilhas, infográficos e alertas de segurança — funcionam como uma ação continuada do conhecimento. Segundo estudos de Mota e Barbosa (2022), esse tipo de abordagem micro aprendizagem (microlearning) apresenta altos índices de retenção de conteúdo e engajamento quando comparado a treinamentos convencionais extensos ou muito longos.
Simulações ativas e passivas – Ferramentas
As simulações ativas são ações tecnológicas que testam o entendimento e o grau de comportamento dos indivíduos como campanhas de phishing ou instrumentos utilizados pelos fraudadores para implicação de dados ou mesmo instalação de software maliciosos, com resultados de até 70% dos incidentes cibernéticos, causados por interações entre usuários e links maliciosos (CYBERSECURITY VENTURES, 2022).
As simulações passivas são feedbacks de testes ou ferramentas que monitoram o comportamento de pessoas para que se tenha o mapeamento dos grupos ou indivíduos que necessitam de atenção e novos ciclos de conscientização (GOMES; MEDEIROS, 2023).
Resultados e melhoria continuada
Os resultados obtidos pelas simulações acarretam uma melhoria continuada no programa preventivo e dos treinamentos empregados no plano.
Ressalta-se que a eficácia de um programa de conscientização não está apenas na execução, mas principalmente na capacidade de medir impactos e promover ajustes constantes (ANDRADE; SANTOS, 2022). Não obstante, um instrumento fundamental a qualquer organização.
A responsabilidade de proteger informações sensíveis não pode ficar restrita às áreas de TI ou segurança. Todos os colaboradores devem ser vistos como parte ativa da estratégia defensiva da organização. Afinal, como destaca Schneier (2019), “os profissionais de segurança não conseguem proteger o que as pessoas não entendem como valioso”.
O desenvolvimento de um “Firewall Mindset” – uma mentalidade corporativa e cultural – torna-se um instrumento de combate aos ataques, assim como reduz o risco de incidentes, mas também fortalece a relação entre os usuários e a segurança da informação.
Por fim, o modelo de adoção de um programa de capacitação é um dos pilares para que a proteção contra os ataques direcionados via engenharia social. A atenção e conscientização geram uma camada de segurança fundamental contra fraudes e ações direcionadas ao erro humano.
[1] Expressão refere-se ao SIEM (Security Information and Event Management) que é responsável por aglutinar e correlacionar registros dos sistemas para ataques, riscos, atividades e auditorias.
[2] DLP (Data Loss Prevention) é caracterizado por um software ou um conjunto de softwares que evitam o vazamento ou mesmo monitoram a perda de dados, proporcionados por violações e transmissões de extração de dados sem autorização.
