Como conscientizar o usuário sobre a S.I.

7 ações de conscientização sobre a segurança da informação

901 313 Microservice

Sabemos que a transformação digital trouxe muitos benefícios e facilidade à vida das pessoas e aos negócios. Mas em contraponto, também aumentaram os números de ataques cibernéticos e a necessidade de garantir a proteção das informações da empresa. Neste processo, o usuário é fator crucial já que lida com dados diariamente e pode ser a porta de entrada para uma invasão.

Segundo o Gartner, 70% dos incidentes de segurança iniciam dentro da empresa, um exemplo é caso do Yahoo que perdeu milhões de dólares devido a um vazamento de dados que iniciou com um e-mail de phishing. Em outros exemplos, considerados os cinco maiores do mundo,  temos como alvos de phishing o CEO de uma grande companhia aérea e, até mesmo, uma empresa especializada em segurança.

A Microsoft aponta em seu relatório de segurança que 91% dos ciberataques e violação de dados, iniciam com um e-mail de phishing. E que 81% dos ataques de hackers iniciaram com senhas roubadas e/ou fracas.

O detalhe é que as estratégias utilizadas pelos hackers são consideravelmente simples, elaboradas a partir de técnicas de engenharia social, como envio de um convite de amizade em uma rede social, ao qual o usuário fornece as informações necessárias para que o cibercriminoso tenha êxito no ataque. Por isso a conscientização do usuário é tão importante para mitigar possíveis ataques.

1. Envolva a alta gestão da empresa

O primeiro passo para ter sucesso na governança da segurança da informação é o envolvimento da gestão da empresa: diretores, gerentes, coordenadores. O processo deve iniciar-se de cima para baixo, para que todos entendam a importância da segurança da informação e estejam envolvidos no processo.

O apoio da gestão contribui para a definição dos pontos a serem abordados, definição das prioridades, investimentos entre outros. Também proporciona consequentemente uma maior aderência dos colaboradores.

2. Defina uma Política de Segurança da Informação

Antes de iniciar uma campanha de conscientização é importante o desenvolvimento ter uma Política de Segurança da Informação, um guia que deixará claro para todos os procedimentos adotados pela empresa e como proceder caso identifique algo suspeito.

A política de segurança de informação deve abordar o que é permitido ao usuário, regras internas e definir práticas que garantam a segurança das informações de negócios. Adotar práticas simples como uma Gestão de Senha auxiliam na proteção da empresa, já que o phishing é apenas o início para o roubo de dados.

3. Busque parcerias internas para conscientização

As áreas como Recursos Humanos e Marketing podem apoiar na conscientização dos colaboradores por já possuírem expertise no assunto. Conscientizar o colaborador sobre a importância da Segurança da Informação é similar a outras campanhas de conscientização que já devem ocorrer na empresa como economizar energia, cuidados com o meio ambiente, saúde e a própria segurança física.

Estes profissionais lhe apoiarão na criação de ações, campanhas e materiais de apoio para sensibilizar as equipes.

4. Analise uma parceria externa

Já diz o ditado “santo de casa não faz milagre”. É importante avaliar o conhecimento que se possui sobre o assunto e analisar a necessidade de contratar uma empresa especializada no assunto. A empresa poderá ser envolvida desde o início, no desenvolvimento da política de S.I., já que possuem experiência no assunto e conhecimento das melhores práticas de mercado.

Além disso, um olhar externo contribuirá para um análise mais detalhada do ambiente e da segurança da empresa, podendo encontrar pontos de vulnerabilidade e ameaças não visualizadas pelos profissionais internos já que estão tão envolvidos no dia a dia do negócio.

5. Teste e prepare seus colaboradores

Simule ataques para preparar seus colaboradores para possíveis situações reais. Testes de phishing, intrusão e vulnerabilidade podem ser realizados de forma simulada, segura e muito similar ao ataque real. Desta forma o colaborador desenvolve um senso mais crítico referente a segurança da informação e identificação de falsos e-mails.

Os testes também contribuem para que você tenha visibilidade das vulnerabilidades e ameaças que a empresa está suscetível. A partir dos resultados do testes, você poderá ter um plano de ação para aplica na empresa e, até mesmo, contribuir para a construção da política de S.I.

Leia também sobre 9 vulnerabilidades que as empresas têm e nem percebem.

 6.  Realize treinamentos

Reúna os colaboradores e explique porque a empresa precisa da colaboração dele. Exemplifique com casos reais e pessoais, comparando com a própria segurança dele, seja virtual ou física, e os danos de sofre um assalto podem ocasionar. Seja simples, conciso e objetivo.

Como comentamos, os ataques realizados têm uma abordagem simples e com os usuários treinados, aumenta a possibilidade da identificação do ataque. Um bom treinamento é capaz de gerar mudança no comportamento do usuário.

Os treinamentos devem ser contínuos e recorrentes para atingir tanto os novos colaboradores quanto relembrar os usuários antigos da importância da S.I. É importante que conste dentro da política da S.I. como parte do processo e não apenas algo pontual.

7. Mantenha a equipe atualizada

Novos ataques surgem constantemente e é importante repassar essas informações aos colaboradores. Compartilhe com os colaboradores dicas periodicamente, apresente os modelos frequentes de spear-phishing, ensine os como identificar os e-mails mal-intencionados e a se questionar antes de abrir um link e inserir as credenciais.

Quanto mais consciente estiverem os colaboradores sobre a importância da segurança da informação e seu papel neste processo, mais protegida estará a empresa.

 

Como está a segurança da informação da sua empresa? Quer saber mais como conscientizar os usuários e soluções para garantir a proteção da sua empresa? Conheça nossa solução Sonar Shield ou fale com os especialistas da Microservice.

SP (11) 4063-8108 | RJ (21) 4063-3343 | MG (31) 4063-7161 | PR (41) 4063-7161 | SC (47) 3322-2343 | RS (51) 4063-7161 | PE (81) 4062-9072