Como você pode criar um programa eficiente de conscientização de segurança para o usuário final? E como medir os resultados deste programa? Como adequar os requisitos regulamentares de verticais em seu treinamento? Como um programa de conscientização do usuário pode ser alinhado com o negócio?

Um programa de conscientização tem grande relevância na política de segurança das empresas e pode colaborar para diminuir os incidentes envolvendo erro humano, aumentando a segurança das aplicações e sistemas das empresas.

No entanto, muitas perguntas continuam sem respostas sobre como educar corretamente seus clientes, parceiros e funcionários. Embora não exista fórmula mágica, reunimos algumas recomendações que vêm ajudando os clientes da Cipher a estarem sempre seguros:

 1. Envolva a diretoria

Não se constrói cultura organizacional da noite para o dia. E também não há cultura organizacional que não siga as principais lideranças corporativas.

Em outras palavras, se segurança é um tema estratégico para os negócios da sua empresa, então seu programa de conscientização deve começar com os principais executivos. E como um gestor de segurança pode educar outros executivos dentro da estrutura organizacional?

Cabe ao gestor de segurança manter a liderança executiva bem informada sobre os riscos. Sempre que possível, quantifique. Por exemplo, quanto representa a indisponibilidade de um sistema caso ocorra um incidente? Muitos executivos são motivados por este tipo de métrica. Descubra quais são outras, que irão motivar os diversos departamentos a promover a conscientização de segurança.

Conheça a liderança executiva no topo e em todos os departamentos da sua empresa. Abra seus olhos para o atual cenário de cibersegurança, calcule os riscos e deixe-os compartilhar seus pontos de vista. Entenda como eles veem a organização e quais são os planos para o futuro dos negócios. Construa consensos sobre os pontos de conscientização que precisam ser reforçados com usuários. Estes passos ajudarão a criar políticas adaptadas ao perfil da empresa e com mais chances de adesão interna.

 2. Crie mensagens que importem

Sabe aquelas mensagens “Não faça isso, não faça aquilo”? Embora sejam recomendações corretas, as pessoas não gostam de ouvir “Não”. As mensagens negativas não são bem recebidas pelas pessoas. Elas acham chatas, inoportunas e não se dedicam a apreender a recomendação.

As recomendações que realmente importam devem ser entregues em uma cadência regular. O que significa uma mensagem que importa? Primeiro, enderece as recomendações mais relevantes da política de segurança da sua empresa. Se você tem 10 recomendações, mas apenas três são realmente cruciais, estas três precisam ser reforçadas com mais frequência. Em segundo, entregue mensagens contextualizadas, e aproveite os canais que seus interlocutores costumam acessar. Você pode entregar uma recomendação via newsletter, no portal da intranet, mas pode também reservar 2 minutos de sua reunião trimestral para endereçar estes assuntos.

Mantenha a mensagem curta, não use a oportunidade como mergulho profundo em um único tópico. Faça a mensagem sobre algo com o qual todos possam se relacionar. Se essa mensagem puder ser atribuída a um líder da empresa, melhor.

3. Aproveite a expertise do seu MSSP

Se você costuma distribuir recomendações por email ou intranet, por exemplo, uma tática interessante é usar informações de seu Provedor de Serviços de Segurança Gerenciada (MSSP, em inglês). Os usuários costumam confiar em especialistas capazes de oferecer dados e análises junto com as recomendações.

Outra vantagem é que ao usar a experiência de um MSSP, você pode inspirar maior interesse das pessoas. Elas prestarão mais atenção às recomendações se houver uma terceira parte especialista corroborando para a sua mensagem. Inclua também informações sobre planos de comunicação do Plano de Continuidade de Negócios e cenários de Recuperação de Desastre (DR).

4. Treine

Um treinamento anual de cibersegurança pode ser instrumental para avaliar como seus funcionários apreendem os conceitos e recomendações. Treinamentos online e remotos podem dar mais flexibilidade. Atualmente, a gamificação é uma ótima ferramenta para este fim.

E como todo treinamento, vale acompanhar os resultados. É importante envolver toda a liderança da empresa, enviando os resultados de treinamento para os executivos em cada departamento, para acompanhamento e ação. Esta abordagem sublinha a mensagem de que conscientização de segurança é estratégica para o negócio.