Falar sobre segurança da informação para as empresas brasileiras já é difícil — infelizmente, ainda há empreendedores que não entendem a necessidade de investir nesse setor. Quando abordamos programas de conscientização, a situação piora ainda mais. É difícil, para um board de diretores, compreender a importância de se condicionar o comportamento seguro para os colaboradores de sua companhia, garantindo que eles perpetuem entre si uma cultura horizontal de privacidade e proteção de dados.
Por conta disso, muitas campanhas acabam não atingindo os resultados desejados — ou deveríamos dizer “apropriados”. Há diversas razões para isso, sendo que a principal é a falta de uma estruturação para que o programa de conscientização e educação (que deve ser contínuo) seja organizado de maneira eficiente. Sem saber de onde tirar o budget e para qual setor colocar tal responsabilidade, muitos gestores repassam tal missão para departamentos como TI e recursos humanos (RH).
Trata-se de um erro cabal. A conscientização é uma matéria que posiciona-se de forma limítrofe entre, pelo menos, três áreas distintas: comunicação, habilidades pedagógicas e mínimos conhecimentos técnicos sobre segurança da informação. O profissional perfeito para ficar responsável sobre tal área já tem um nome: security awareness officer (SAO), ou gerente de conscientização em segurança. Trata-se de um cargo que demanda soft skills bastante peculiares, não cabendo a qualquer um ocupá-lo.
O SAO deve, ao mesmo tempo, conhecer (e manter-se atualizado) em relação aos riscos cibernéticos que podem afetar seu ambiente corporativo; ter a sensibilidade de repassar esse conhecimento da forma mais didática e interativa possível; ter um ótimo senso de comunicação interpessoal e saber trabalhar com educação levando em conta que cada pessoa possui um ritmo distinto de aprendizagem. Uma simples cartilha ou palestra pode não ser o suficiente, e é este profissional que analisará a melhor abordagem.
Claro, só um profissional não é o suficiente para que seu programa tenha sucesso. Quanto mais colaboradores dedicados inteiramente a esse treinamento, melhor. Com isso, fica mais fácil manter um acompanhamento constante dos resultados e apresentar um retorno sobre o investimento (ROI) que esteja de acordo com o esperado pelo board.
Autor do post: Ramon de Souza – Escritor, jornalista especializado, palestrante e consultor em segurança da informação. Editor-chefe da The Hack, repórter do Canaltech e fundador da Tietê Security.