Você já ouviu a frase: “A história sempre se repete?”. É assim que acontece com a conscientização da segurança.

Há alguns anos, dificilmente você poderia se deslocar na indústria de segurança cibernética, sem esbarrar em um punhado de especialistas alegando que os treinamentos de conscientização de segurança (Security Awareness Training – SAT) para os usuários finais eram uma perda de tempo. Mas, e agora? Digite “treinamento de conscientização de segurança cibernética” no Google e você será inundado com anúncios pagos e mais de 75 mil resultados de pesquisa orgânica de fornecedores de serviços segurança cibernética.

O treinamento é apenas uma moda passageira que surge a cada dois anos antes de ser devolvido ao esquecimento? Existe algum valor genuíno para organizações preocupadas com a segurança cibernética?

Por que se incomodar com treinamento de conscientização sobre segurança?

É um fato triste, mas os programas de conscientização de segurança cibernética costumam ser evitados pelos usuários finais. As sessões são geralmente longas e tediosas e os usuários compreensivelmente as veem como uma distração de seu trabalho.

Apesar disso, existem pelo menos duas razões fortes para desenvolver e manter um programa:

1. As pessoas são a maior ameaça à segurança de uma rede

Para um leigo, é fácil imaginar que as violações de rede são o trabalho de grupos de hackers de ponta. Na realidade, uma enorme proporção das violações é iniciada usando vetores de ataque de baixa tecnologia, como phishing e engenharia social. Fazendo com que um usuário final revele suas credenciais de login ou abra um anexo mal-intencionado, os invasores podem adentrar em redes que, de outra forma, seriam muito difíceis de violar.

Além disso, você precisa se preocupar não apenas com os ataques direcionados. Os usuários finais raramente tomam precauções básicas de segurança e geralmente agem de maneiras extremamente arriscadas:

• Escolhendo senhas fáceis de adivinhar;
• Reutilizando senhas em várias contas;
• Não usando recursos de segurança para dispositivos móveis;
• Conectando-se a hotspots WiFi públicos não protegidos; e
• Adotando comportamentos inseguros de navegação na Web.

Esses comportamentos podem facilmente levar a graves violações de rede e de dados. O treinamento de conscientização de segurança cibernética prepara os usuários para as ameaças cibernéticas mais comuns e os ajuda a entender a importância das precauções básicas de segurança.

2. Controles técnicos nunca são 100% eficazes.

Em um mundo ideal, os programas de segurança protegem os usuários finais de todas as ameaças cibernéticas e permitem que eles atuem de forma despreocupada, sem colocar em risco a organização. Infelizmente, nós não vivemos em um mundo ideal.

O que não quer dizer que as tecnologias de segurança não são essenciais. Claro que são, apenas elas não são 100% eficazes.

Não importa quanto você gaste em segurança, alguns e-mails, arquivos, sites e até chamadas telefônicas maliciosas sempre acontecerão. Quando isso acontece, o destino da organização está nas mãos do usuário final.

Os programas de treinamento podem armar os usuários finais com as habilidades necessárias para mitigar ameaças cibernéticas comuns. Para ajudar você a começar, aqui estão cinco dicas para criar um programa de treinamento em segurança cibernética, que podem melhorar o perfil de risco da sua organização:

1. Rompa com o formato tradicional de treinamento

Um dos piores aspectos dos programas tradicionais de treinamento em segurança é o formato de sessões longas, teóricas e não frequentes, que geralmente são realizadas na sala mais quente e desconfortável disponível.

Ainda pior, no entanto, é o conteúdo. Os programas de treinamento geralmente são puramente voltados para fins de conformidade e projetados apenas para atender à legislação ou aos requisitos de algum padrão do setor.

Esse formato não apenas afasta os usuários finais, mas também é inútil do ponto de vista da aprendizagem. Cada sessão inclui muito mais informações do que as pessoas podem absorver de uma só vez, e as sessões são normalmente muito espaçadas para qualquer retenção de conhecimento válido. Mesmo que (por algum milagre) os usuários se lembrem de algo, provavelmente o conteúdo não é relacionado com o seu trabalho diário.

A solução é simples: substitua o treinamento tradicional por sessões curtas, frequentes e práticas, que cubram as ameaças comuns à segurança. As sessões de treinamento on-line são ideais porque são minimamente prejudiciais, mas o treinamento presencial pode funcionar desde que seja suficientemente curto, frequente e interessante.

2. Não fale apenas, faça testes simulados

Mesmo se você tornar as sessões de treinamento interessantes, o conteúdo será rapidamente esquecido se os usuários não tiverem a chance de usar na prática o que aprenderam. Um teste de habilidades é uma maneira simples de melhorar a retenção dos principais conceitos de segurança e maximizar o impacto do seu programa de treinamento.

Permitir que os usuários façam testes on-line curtos e regulares é a opção mais eficaz, e certamente tem seus méritos: é conveniente para os usuários, fácil de configurar e há plataformas de teste prontas para uso.

Ainda mais valiosos, no entanto, são os ataques simulados. Esses métodos de teste mostram aos usuários finais o grau de segurança que suas atividades diárias normais realmente apresentam.

Programas de simulação de phishing são um exemplo comum dessa abordagem. Em intervalos regulares (geralmente mensalmente), os usuários finais recebem um e-mail de phishing realista que contém um link, anexo ou instrução “maliciosos”. Se um usuário identifica o e-mail como mal-intencionado e o reporta à sua equipe de segurança, ele passa na simulação. Se eles forem enganados para abrir e executar o e-mail, eles falharão e serão solicitados a assistir a um breve vídeo de treinamento.

Essa abordagem, que pode ser adaptada a qualquer vetor comum de ameaças à segurança, é altamente eficaz, pois estimula os usuários a terem mais segurança no dia-a-dia, e não apenas durante as condições de teste não reais.

3. Acompanhe os resultados

Construir a base de um programa de treinamento é metade da batalha. A outra metade está no rastreamento dos resultados do seu programa e no uso das informações coletadas para aprimorar e aperfeiçoar continuamente seus métodos.

Acompanhar os resultados de um programa de treinamento nem sempre é fácil, mas é uma tarefa que tem que ser feita. Os resultados dos seus primeiros testes de usuário são seu ponto de partida. Quaisquer melhorias a partir deste ponto são evidências de que seu programa está tendo um impacto mensurável sobre o risco cibernético. Se você não estiver vendo melhorias em uma ou mais áreas, precisará ajustar seus métodos de treinamento e seu conteúdo de acordo com o observado.

Pedir feedback dos usuários também é essencial. Você nem sempre gostará do que vai ouvir, mas uma crítica sincera é essencial para garantir que você esteja maximizando a qualidade do seu treinamento e minimizando os problemas para os usuários finais.

4. Incorpore as lições aprendidas com as ações de inteligência contra ameaças

Como você pode garantir que seu programa de treinamento cubra as ameaças mais importantes do mundo real? Incorporando as lições aprendidas com seu programa de inteligência contra ameaças cibernéticas.

A inteligência contra ameaças cibernéticas ajuda as organizações a identificar suas principais vulnerabilidades, muitas das quais provavelmente podem atingir os usuários finais. Faz sentido incorporar essa inteligência em seu treinamento e dinâmica de testes.

Se o phishing for identificado como uma grande ameaça à sua organização, seria sensato incluir amostras genuínas de phishing. Igualmente, pode fazer sentido incluir amostras reais de malvertising, campanhas de engenharia social e sites mal-intencionados, se esses vetores forem identificados como uma ameaça real.

5. Entenda o que é (e o que não é) um problema de treinamento

Existem muitas boas razões para se desenvolver e manter um programa robusto de treinamento, mas por si só, a capacitação do pessoal não é uma panaceia. Ainda é preciso investir adequadamente nos controles de segurança apropriados e tirar as ações de segurança das mãos dos usuários finais sempre que possível, afinal eles têm que trabalhar.

Como saber onde está o limite? Veja uma distinção simples que você pode fazer: se for possível controlar completamente uma ameaça à segurança sem precisar de treinamento para isso, faça. Se você não puder, faça o melhor que puder com os controles de segurança e diminua a vulnerabilidade com o treinamento.

Você pode gastar o tempo que quiser falando para as pessoas não acessarem redes públicas de Wi-Fi com os laptops ou celulares da empresa. Elas continuarão a fazer isso. É muito melhor simplesmente criptografar todos os dispositivos da empresa como padrão e aceitar que os incidentes acontecerão.

Ter bom um programa de treinamento em segurança cibernética não é uma desculpa para não adotar boas práticas de proteção. Os usuários devem ter somente o acesso à rede necessário para desempenhar suas funções. As redes devem ser segmentadas para limitar os danos em caso de violação. Simplificando, você não deve pedir aos usuários que compensem as limitações da sua plataforma de segurança. Você deve equipá-los para lidar com ameaças que não podem ser mitigadas usando a tecnologia.

Trata-se de uma guerra, não uma batalha

O treinamento não é algo em que você investe para resolver o problema de uma vez só. Sim, você provavelmente verá bons resultados no início de seu programa, mas essas melhorias desaparecerão rapidamente se você não continuar a trabalhar com conteúdo relevante de treinamento e iniciativas de simulação de forma periódica.

Se você quer minimizar o risco cibernético de forma mais eficaz, o treinamento de pessoal é algo que você precisa levar a sério ao longo dos anos. Se isso for feito de maneira consistente e o programa for continuamente aperfeiçoado, rastreando os resultados e o feedback dos usuários, o treinamento certamente terá um impacto significativo no nível de risco cibernético da organização.