Segurança da Informação: O que realmente funciona para construir a conscientização
Postado em 03 de dez. de 2021 por Antonio Plais
Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução, adaptação e reprodução autorizados.
Um dos valores principais da Centus e da BiZZdesign é compartilhar conhecimento e melhores práticas. É por isso que nós regularmente organizamos e contribuímos para seminários, conferências e mesas redondas presenciais e online. Depois de uma apresentação intitulada “Segurança não é um Problema da TI”, que ilustrou a frequente falta de conexão entre as políticas e as medidas dentro das organizações, nós decidimos promover um encontro com vários especialistas e respeitados profissionais da indústria, muitos deles nossos clientes, para conversar sobre isso. Na postagem anterior nessa série discutimos a questão de como comunicar sobre a segurança da informação. Nesta postagem apresentaremos o resultado de um debate sobre o que realmente funciona para construir a conscientização sobre a segurança da informação.
O que eu tenho a ganhar?
Os interesses de uma organização como um todo em relação à segurança da informação é entendido para maioria dos empregados da organização, mas os interesses pessoais parecem ser mais importantes, ou pelo menos mais urgentes para muitos. Você precisa dizer às pessoas o que elas têm a perder. Reputação, confiança, continuidade do negócio, dinheiro, dados, tempo e foco são apenas alguns dos pontos de dormensionados.
E se tivesse sido com a nossa empresa?
Perguntara alguém o que ela faria se fosse a sua empresa que estivesse enfrentando problemas de segurança da informação é uma ótima forma de obter respostas honestas. Esta é uma quentão pessoal, o que ajuda as pessoas a encarar o desafio maior, ao invés de se concentrar apenas nas suas próprias tarefas.
Herói de segurança do mês
Ninguém realmente tem um “Prêmio do Empregado de Segurança do Mês” (e o vencedor é…. a pessoa com a senha mais complicada?), mas recompensar o bom comportamento é um mecanismo simples mas bastante efetivo. Reconhecer aqueles que têm um bom desempenho com alguma recompensa simples, e cumprimentos da gerência podem realmente fazer uma enorme diferença.
Mensagens curtas e frequentes ao invés de uma grande campanha anual
A agenda das pessoas está cheia, e nós teremos muita coisa para apresentar quando a nova versão da nossa arquitetura de segurança for implementada, então nós só vamos comunicar sobre isso naquele momento… Isso parece familiar? Bom, isso é uma péssima prática. Grandes eventos, ofensivas de conscientização e campanhas pela Internet podem parecer fantásticas, mas dificilmente funcionam se você só os realiza uma vez por ano. Compartilhar mensagens curtas com frequência, ao invés de longas mensagens de vez em quando, realiza um trabalho muito melhor para manter a segurança no alto da mente das pessoas. Continue repetindo a sua visão e repetindo o que você espera que as pessoas façam.
Torne isso real
O que acontece quando nós formos atacados? Uma demonstração de ataque pode jogar alguma luz sobre esta questão. Não há a necessidade de demonstrar a parte técnica por si, mas a parte onde nós mostrados qual é o dano. Desta forma as pessoas realmente vêm quão difícil ou quão fácil é ganhar acesso à informação, e entender quão importante é adotar as medidas de segurança.
Criar a conscientização é realmente um desafio, mas com as melhores práticas mencionadas em nossa mesa redonda, as coisas poderiam se tornar um pouco mais fáceis.
Fique ligado na nossa próxima postagem nessa série, onde discutiremos as 7 Piores Práticas em Segurança da Informação.
*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.