O processo de criar uma campanha de segurança da informação não precisa ser complexo ou envolver um alto investimento, na verdade, elas são exatamente o que a sua empresa pode ter.
Tendo em vista que nenhum sistema de segurança é realmente eficaz sem os devidos cuidados do usuário, as campanhas de conscientização tornam-se uma importante ferramenta para reduzir os danos causados por erros do tipo.
O fator humano é a maior vulnerabilidade de uma estratégia contra ciberataques, então saiba aqui como aplicar um plano consistente e sustentável para sua organização.
Como criar uma campanha de segurança da informação, que funcione, em 12 etapas
Foco em problemas reais
Foque no que é realmente um problema para sua organização.Embora a ideia de resolver todos os problemas de uma vez seja algo sedutor, mas nenhuma campanha que tenta acertar tudo deve funcionar. O melhor é focar nos principais conceitos e somente quando os funcionários sentirem-se confortáveis com aquilo, partir para outras medidas.
Reforço nas principais medidas
Verifique cada setor para tentar compreender as necessidades de segurança de cada um. Política de Segurança da Informação
Segmentação para os diferentes grupos de trabalho
Reconhecendo as necessidades de cada setor, chegou a hora segmentar as melhores mensagens para cada um, pensando no que seria mais efetivo para determinado público e o que seria revendido.
Repetição de mensagens em diferentes canais
A repetição de canais é um recurso que funciona no marketing digital e com toda certeza deve auxiliar no marketing de conteúdo e offline, também. Repita as mensagens da campanha em diferentes canais internos e até mesmo formatos, caso houver a opção, isso pode ajudar os funcionários a fixarem-a melhor
Utilização de influenciadores para transmissão de mensagens
Para uma organização, um influenciador não precisa necessariamente ser alguém famoso, pode ser um líder de equipe, por exemplo.Compartilhar histórias de gestores ou até mesmo do dono da empresa pode ser inspirador para muita gente.
Desafio de crenças em cibersegurança
É muito importante que alguns profissionais sejam desafiados para que a campanha seja vista com bons olhos. Selecione, junto a equipe de TI, aqueles convidados e profissionais seniors podem receber desafios específicos que os torna vulneráveis também.
Ilustração de situações
Durante a campanha, utilize formas e cores distintas, busque trazer o máximo de atenção para as peças da campanha, além de verificar boas referências para tornar a campanha única.
Exemplos de ocorrências anteriores
A empresa em questão já sofreu algum tipo de ataque no passado? Trazer ocorrências passadas é uma ótima maneira de criar consciência sobre como certos ataques são possíveis e não estão longes da empresa
Inclusão de informações relevantes para além do trabalho
Ninguém deve questionar um bom plano de conscientização, mas considerando que muitos funcionários podem trabalhar de dispositivos celulares ou até mesmo o computadores remotos, porque não pensar em soluções que possam levar e ser aplicando de casa, também?
Contar histórias
Além de um ótimo e estratégico design, a melhor maneira de atrair a atenção dos funcionários, é com textos que chamem sua atenção, e uma das maneiras de se obter esse resultado é através dos textos persuasivos do storytelling.
Justificar os motivos
É sempre bom lembrar, as pessoas gostam de saber o porquê de estarem fazendo alguma coisa. Deixe bem claro as razões de certas medidas estarem sendo tomadas para que o processo de transição faça sentido para todas as partes envolvidas.
Compartilhar resultados
Compartilhe os resultados de todas as campanhas com as pessoas envolvidas, colete feedbacks, alterações (caso necessário) e continue com as campanhas de conscientização.
Pós-crise? Confira as medidas paliativas que podem ser adotadas no dia a dia corporativo
Durante nossa última campanha sobre engenharia social, separamos diversas dicas práticas de como ter uma rotina mais segura em diferentes ambientes.
Embora partam de uma realidade generalizada, é importante reforçar que as medidas podem ser úteis mas que diferentes empresas e localidades podem possuir necessidades diferentes sobre o que funciona para seus ambientes.
Política da mesa organizada
Esqueça o excesso de itens de escritório, como papéis e impressões em sua mesa de trabalho. Para garantir a segurança de olhares indiscretos, somente itens que estão sendo utilizados naquele momento devem estar presentes e informações sensíveis devem ser consumidas discretamente.
O uso de aparelhos pessoais (BYOD)
Expandir a informação de que os dispositivos dos colaboradores, mesmo quando pessoais, passam a ter as mesmas responsabilidades, regras e políticas de segurança de qualquer outra máquina corporativa a partir do momento que se conectam a rede.
Gerenciamento de Dados
É importante que todos os funcionários tenham noção da importância dos dados com os quais trabalha, protegendo cópias e compartilhamentos não autorizados, mesmo que o documento não apresente dados de extrema relevância, pois assim é possível criar a cultura de responsabilidade, proteção e sentimento de dono por esses dados.
Mídia removível
Não é nada incomum ver um funcionário plugando um pendrive em seu dispositivo simplesmente para ver o que se encontra nele armazenado ou simplesmente a quem pertence, o problema é que a mídia pode também ser um cavalo de troia. Nesses casos, o mais recomendável é consultar o gerente de SI para realizar os testes necessários.
Manter gavetas e armários fechados
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Não compartilhar login e senha com nenhum colega de trabalho
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Coletar documentos impressos logo em seguida
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Manter todos os sistemas atualizados
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
Não memorizar senhas em computadores públicos ou de uso compartilhado
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.
Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.
Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.
Em e-mails e redes sociais
Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
Desconfiar de todo e-mail com remetente desconhecido que possui anexos e links
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.
Em redes sociais
Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
A partir das dicas acima será possível a criação de uma forte campanha de conscientização de segurança e também o pontapé inicial com as nossas dicas de segurança em ambientes do dia a dia.
Será que você é um mestre da segurança da informação?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.