CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Como Criar uma Campanha de Segurança da Informação

O processo de criar uma campanha de segurança da informação não precisa ser complexo ou envolver um alto investimento, na verdade, elas são exatamente o que a sua empresa pode ter.

criar uma campanha de segurança da informação

Tendo em vista que nenhum sistema de segurança é realmente eficaz sem os devidos cuidados do usuário, as campanhas de conscientização tornam-se uma importante ferramenta para reduzir os danos causados por erros do tipo.

O fator humano é a maior vulnerabilidade de uma estratégia contra ciberataques, então saiba aqui como aplicar um plano consistente e sustentável para sua organização.

Como criar uma campanha de segurança da informação, que funcione, em 12 etapas

Foco em problemas reais

Foque no que é realmente um problema para sua organização.Embora a ideia de resolver todos os problemas de uma vez seja algo sedutor, mas nenhuma campanha que tenta acertar tudo deve funcionar. O melhor é focar nos principais conceitos e somente quando os funcionários sentirem-se confortáveis com aquilo, partir para outras medidas.

Reforço nas principais medidas

Verifique cada setor para tentar compreender as necessidades de segurança de cada um. Política de Segurança da Informação

Segmentação para os diferentes grupos de trabalho

Reconhecendo as necessidades de cada setor, chegou a hora segmentar as melhores mensagens para cada um, pensando no que seria mais efetivo para determinado público e o que seria revendido.

Repetição de mensagens em diferentes canais

A repetição de canais é um recurso que funciona no marketing digital e com toda certeza deve auxiliar no marketing de conteúdo e offline, também. Repita as mensagens da campanha em diferentes canais internos e até mesmo formatos, caso houver a opção, isso pode ajudar os funcionários a fixarem-a melhor

Utilização de influenciadores para transmissão de mensagens

Para uma organização, um influenciador não precisa necessariamente ser alguém famoso, pode ser um líder de equipe, por exemplo.Compartilhar histórias de gestores ou até mesmo do dono da empresa pode ser inspirador para muita gente.

Desafio de crenças em cibersegurança

É muito importante que alguns profissionais sejam desafiados para que a campanha seja vista com bons olhos. Selecione, junto a equipe de TI, aqueles convidados e profissionais seniors podem receber desafios específicos que os torna vulneráveis também.

Ilustração de situações

Durante a campanha, utilize formas e cores distintas, busque trazer o máximo de atenção para as peças da campanha, além de verificar boas referências para tornar a campanha única.

Exemplos de ocorrências anteriores

A empresa em questão já sofreu algum tipo de ataque no passado? Trazer ocorrências passadas é uma ótima maneira de criar consciência sobre como certos ataques são possíveis e não estão longes da empresa

Inclusão de informações relevantes para além do trabalho

Ninguém deve questionar um bom plano de conscientização, mas considerando que muitos funcionários podem trabalhar de dispositivos celulares ou até mesmo o computadores remotos, porque não pensar em soluções que possam levar e ser aplicando de casa, também?

Contar histórias

Além de um ótimo e estratégico design, a melhor maneira de atrair a atenção dos funcionários, é com textos que chamem sua atenção, e uma das maneiras de se obter esse resultado é através dos textos persuasivos do storytelling.

Justificar os motivos

É sempre bom lembrar, as pessoas gostam de saber o porquê de estarem fazendo alguma coisa. Deixe bem claro as razões de certas medidas estarem sendo tomadas para que o processo de transição faça sentido para todas as partes envolvidas.

Compartilhar resultados

Compartilhe os resultados de todas as campanhas com as pessoas envolvidas, colete feedbacks, alterações (caso necessário) e continue com as campanhas de conscientização.

Pós-crise? Confira as medidas paliativas que podem ser adotadas no dia a dia corporativo

Durante nossa última campanha sobre engenharia social, separamos diversas dicas práticas de como ter uma rotina mais segura em diferentes ambientes.

Embora partam de uma realidade generalizada, é importante reforçar que as medidas podem ser úteis mas que diferentes empresas e localidades podem possuir necessidades diferentes sobre o que funciona para seus ambientes.

Política da mesa organizada

Esqueça o excesso de itens de escritório, como papéis e impressões em sua mesa de trabalho. Para garantir a segurança de olhares indiscretos, somente itens que estão sendo utilizados naquele momento devem estar presentes e informações sensíveis devem ser consumidas discretamente.

O uso de aparelhos pessoais (BYOD)

Expandir a informação de que os dispositivos dos colaboradores, mesmo quando pessoais, passam a ter as mesmas responsabilidades, regras e políticas de segurança de qualquer outra máquina corporativa a partir do momento que se conectam a rede.

Gerenciamento de Dados

É importante que todos os funcionários tenham noção da importância dos dados com os quais trabalha, protegendo cópias e compartilhamentos não autorizados, mesmo que o documento não apresente dados de extrema relevância, pois assim é possível criar a cultura de responsabilidade, proteção e sentimento de dono por esses dados.

Mídia removível

Não é nada incomum ver um funcionário plugando um pendrive em seu dispositivo simplesmente para ver o que se encontra nele armazenado ou simplesmente a quem pertence, o problema é que a mídia pode também ser um cavalo de troia. Nesses casos, o mais recomendável é consultar o gerente de SI para realizar os testes necessários.

Manter gavetas e armários fechados

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Não compartilhar login e senha com nenhum colega de trabalho

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Coletar documentos impressos logo em seguida

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Manter todos os sistemas atualizados

Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.

Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado

Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.

Não memorizar senhas em computadores públicos ou de uso compartilhado

Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.

Bloquear imediatamente qualquer cartão bancário perdido.

Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.

Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.

Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.

Em e-mails e redes sociais

Verificar sempre o remetente do e-mail.

É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.

Desconfiar de todo e-mail com remetente desconhecido que possui anexos e links

Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.

Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.

As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.

Em redes sociais

Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.

Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.

Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.

A partir das dicas acima será possível a criação de uma forte campanha de conscientização de segurança e também o pontapé inicial com as nossas dicas de segurança em ambientes do dia a dia.

Será que você é um mestre da segurança da informação?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Protection Game

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.

Leia outros artigos