Neste primeiro artigo da série sobre educação em cibersegurança da informação, que publicaremos como parte da comemoração do Antimalware Day 2019, separamos algumas ideias de como incluir a educação em cibersegurança dentro de uma empresa. As ações podem ser implementadas de forma isolada ou complementar.
Tendo em conta que o erro humano é o principal responsável pela maioria dos incidentes de segurança que ocorrem em um ambiente corporativo, pode ser bastante positivo que as pessoas que fazem parte das equipes de trabalho contem com ferramentas que lhes permitam desenvolver as habilidades necessárias para saber como lidar com essas ameaças.
#1 Criar um e-mail para “tirar dúvidas”
Criar uma conta de e-mail para o envio de perguntas relacionadas a problemas ou casos de segurança é uma boa iniciativa. Este mesmo e-mail também pode servir para o recebimento de mensagens suspeitas, sendo uma ferramenta bastante útil para que os colaboradores aprendam a reconhecer e-mails falsos. Além disso, no caso de e-mails de phishing, por exemplo, esse material pode ser usado para realizar treinamentos de casos reais.
Além disso, ter um e-mail para “tirar dúvidas” também pode ser um incentivo para os colaboradores que não se atrevem a fazer perguntas de forma pública.
#2 Alertas
Nos casos de campanhas maliciosas de spam que chegam por e-mail, o estabelecimento de um sistema dinâmico de alerta permite que o resto da empresa seja informado sobre a circulação de uma campanha maliciosa. Além de reduzir o risco de uma pessoa desatenta cair no golpe, embora a campanha em particular não tenha nenhum elemento novo, serve para reforçar conceitos e lembrar quais são as técnicas mais utilizadas pelos cibercriminosos.
#3 Palestras e/ou capacitações
As palestras como instrumento de capacitação podem ser uma ótima ferramenta. Os encontros podem ser ministrados por especialistas da própria empresa ou por profissionais convidados. Os assuntos podem ser definidos tendo em conta as perguntas mais frequentes enviadas pelos colaboradores. Além disso, também pode ser ideal elaborar um calendário de assuntos como parte de um programa de capacitação - a empresa pode preparar palestras educativas sobre vários temas relacionados com a cibersegurança.
Considerando que uma empresa é composta por profissionais de diversas áreas, em alguns casos é ideal segmentar o público e realizar dois encontros separados e mais direcionadas, tendo em conta os interesses e habilidades de cada grupo. Os encontros mais técnicos podem ser direcionados para aqueles que possuem conhecimentos mais abrangentes sobre o assunto e outros encontros com conteúdos menos técnicos podem ser realizados para ajudar aos demais públicos.
Também sugerimos usar imagens, vídeos e todos os tipos de materiais visuais que possam tornar o treinamento mais atraente e dinâmico, uma vez que desta forma a comunicação pode ser mais eficaz.
#4 Dinâmicas ou concursos
Uma maneira divertida de introduzir a capacitação em cibersegurança no ambiente corporativo é através de dinâmicas ou concursos envolvendo os colaboradores. Por exemplo, realizar um concurso de perguntas e respostas, utilizando os conceitos apresentados em uma palestra ou treinamento já realizados. Além de ser divertido, é uma forma de conhecer através dos resultados o grau de conhecimento ou desconhecimento sobre temas que são importantes para a empresa.
Outra alternativa é contratar um serviço de testes de engenharia social, que permita avaliar o grau de conhecimento dos profissionais que trabalham dentro de uma empresa e fornecer informações que possam ser usadas para determinar aspectos que devem ser tratados com mais profundidade em um treinamento.
#5 Guia de melhores práticas em cibersegurança
Outra ideia é produzir um guia de melhores práticas que sirva de referência para os procedimentos recomendados para a manutenção de um ambiente seguro. Esse guia pode servir de orientação para a compreensão dos problemas mais comuns, estabelecendo práticas saudáveis para a administração de informações nas empresas. Isso pode incluir, por exemplo, informações sobre como configurar seus dispositivos com segurança, como criptografar dados, como configurar o duplo fator de autenticação nos principais serviços, etc.
Também é importante que estes guias sejam de fácil leitura e tenham apenas as informações necessárias. Esses documentos podem estar na mesa de cada colaborador como forma de facilitar a consulta.
Para finalizar, uma dica para a retenção de ideias e/ou conceitos é brincar com lugares inesperados: deixar mensagens em lugares como banheiros, cozinha ou elevador. O fato de encontrar uma mensagem em um lugar que não esperamos tem um impacto maior do que se a encontrarmos em lugares comuns.