Durante anos, as organizações têm investido em tecnologia, como antivírus, firewalls, criptografia completa de disco, prevenção de perda de dados e outros. Embora fundamentais, soluções como estas podem se tornar insuficientes quando um elemento-chave comete deslizes: as pessoas. Até que não seja dada a devida importância a este ponto, os ciberataques as organizações seguirão firmes e fortes.

A razão para isso é simples, os invasores cibernéticos buscam o caminho de menor resistência – neste caso, claro, a exposição da vida particular das pessoas na Web. Empresas tornaram-se muito boas em garantir tecnologia, mas pecam muito na hora de assegurar que seus próprios colaboradores permaneçam cautelosos mesmo fora do ambiente de trabalho. Como resultado, os criminosos virtuais têm ignorado a tecnologia, utilizando métodos como o phishing, telefonemas direcionados, ataques através de mídias sociais ou quaisquer outros meios de comunicação. Em última análise o resultado é o mesmo. Os invasores são hábeis em ludibriar as pessoas para fazerem algo que não deveriam fazer.

A solução é simples, assim como a sua organização tem investido pesado na proteção usando meios tecnológicos, você também vai precisar investir na conscientização das pessoas. Para fazer isso você vai precisar criar uma política de segurança para dentro e fora do escritório.

No entanto, isto não é um processo simples. Para criar comportamentos adequados de segurança dentro da empresa, é preciso estabelecer um programa eficiente, de longo prazo. que mantenha seus funcionários alertas. Tal programa deve envolver os seus funcionários, explicando-lhes por que a segurança cibernética é importante e falando sobre os comportamentos essenciais para proteger-se tanto no trabalho como em casa. Embora existam desafios para imergir um programa desse tipo, as organizações ao redor do mundo estão dando esse passo e vendo um enorme retorno desse investimento. Algumas grandes empresas já chegam a contar apenas com apenas 5% de casos de phishes; e ainda assim, quando o problema ocorre, o profissional informa o corrido imediatamente.

Políticas de prevenção

O primeiro desafio será o de fazer o seu programa de conscientização de Segurança ser fixado pelas pessoas. Alertá-las sobre os cuidados a serem tomados é a parte fácil, o difícil é conseguir manter os funcionários dispostos a seguir todas medidas aprendidas a longo prazo. O passo primordial para moldar o comportamento, é compreender como se cria um hábito. De acordo com pesquisadores do laboratório técnico de persuasão da Universidade de Stanford existem 3 elementos chave para se desenvolver um hábito. A pessoa deve ser estimulada a praticar determinado comportamento, e ela precisa de um incentivo para apresentar esse comportamento de maneira voluntária. Quanto mais motivada a pessoa estiver para desenvolver um novo hábito, mais fácil será para ela adquirir esse novo hábito em sua vida.

Para apresentar aos seus colaboradores um treinamento eficiente, é necessário utilizar uma forma de comunicação impactante. Apresentar apenas números e estatísticas pode não ser o suficiente. Arrume uma forma de transmitir que os cuidados com a Segurança se aplicam também na vida de cada um deles. Pois a tecnologia utilizada em nosso trabalho costuma ser a mesma de nossas casas. Então sendo assim, os cuidados devem ser exatamente iguais aos praticados no meio corporativo.

Entenda a personalidade das pessoas

Saiba bem qual é o seu público-alvo. Entenda as diferentes mentalidades dentro da sua firma. Talvez o conteúdo deva ser predominantemente mais formal, caso sua equipe já tenha uma certa idade. Ou se a maioria é jovem, opte por uma apresentação mais descontraída, que explore as novas mídias, etc. Assim, sem sombra de dúvidas você fará uma apresentação mais adequada e consequentemente mais impactante.

Dê foco ao que é relevante

Nunca cite nomes em público. Evite apontar o dedo para os funcionário mais propensos a cometer falhas de segurança – muitas vezes até por serem de uma área completamente distinta da TI. Isso além de não ajudar em nada, prejudica a eficácia do treinamento. Pois geralmente a crítica quando é posta de uma forma agressiva, tende a causar apenas revolta nas pessoas.

Claro que você deve controlar as falhas mais cometidas dentro da sua empresa. Por exemplo: Phishing é a forma de ataque mais comum no meio corporativo. Por que não testar seu time enviando para eles um pseudo-phishings para verificar se o treinamento deu resultado?

Os funcionários que forem reprovados no teste, podem ser chamados a atenção individualmente, sem necessidade de expô-los em público.

Crie uma política de valorização do comportamento ideal

O reconhecimento é uma poderosa arma para motivar uma pessoa. Seja recíproco, dê a devida atenção para os funcionários que adotarem cautela em relação a Segurança. As pessoas tendem a querer imitar aquilo que traz reconhecimento. Assim você automaticamente desenvolverá uma cultura benéfica em relação a Segurança da sua empresa.

Pessoas são os melhores aliados do seu negócio. Invista nelas. Assim sem sombra de dúvidas você evitará dores de cabeça com invasão de terceiros no seu negócio, além claro de beneficiar seus próprios funcionários.

Leia o artigo original (em inglês): link