Seu pior risco de segurança pode trabalhar para você
Como ajudar seus funcionários a desenvolver melhor seus hábitos de segurança
Atualizado em: 9 de junho de 2005
Por Scott Plamondon
Quando se trata de segurança de informações, sua maior vulnerabilidade não está necessariamente em seus computadores. Está nos usuários. Todos os dias, os funcionários cometem erros graves, como anotar suas senhas em lugares que outros podem vê-las, baixar e abrir anexos de emails que contêm vírus e deixar seus computadores ligados durante a noite. Erro humano, e não vulnerabilidades do sistema, é a maior causa de violações graves de segurança, segundo a pesquisa "Committing to Security Benchmark Study", patrocinada pela Computing Technology Industry Association (CompTIA).
Como os atos humanos afetam gravemente a segurança de computadores, você precisa treinar seus funcionários, sua equipe de TI e seus gerentes para tornar a segurança uma prioridade e desenvolver bons hábitos de segurança. Se você não se sente apto para tal treinamento, contrate um consultor externo. As organizações como a SANS (SysAdmin, Audit, Network, Security) Institute, a Computer Security Institute e a MIS Training Institute são especializadas nesse tipo de treinamento e podem ajudar as empresas em todo o mundo.
Nesta página
Treinamento para usuário comum: foco em conformidade
"Um dos pontos cruciais sobre conscientização é adaptar sua mensagem para cada tipo de público-alvo", afirma John O'Leary, diretor de treinamento do Computer Security Institute, que oferece treinamento de segurança de computadores, grupos sociais e conferências. "Você não pode usar o mesmo vocabulário com a equipe de gerenciamento sênior que usaria com a equipe técnica".
A população de usuários comuns, por exemplo, não precisa saber como funciona o firewall de rede. "Você precisa dizer ao usuário final o que ele precisa fazer para desempenhar suas tarefas", diz O'Leary, com base em sua experiência de 30 anos na área de segurança de computadores. "Como isso influi na minha capacidade de processar transações de pedidos? Como isso influi na minha capacidade de gerenciar uma linha de produção?"
As pessoas precisam de razões, tanto positivas como negativas, para mudar seu comportamento, afirma O'Leary. Em segurança, isso significa explicar como bons hábitos de segurança beneficiam os funcionários e a empresa, e como maus hábitos os prejudicam. Um dos benefícios pode ser o funcionamento eficiente de redes, proporcionando melhor condição de trabalho aos funcionários. Isso, por sua vez, aumenta a produtividade geral da empresa. "Segurança nada mais é que bom gerenciamento, e um gerenciamento mais dedicado melhora cada aspecto de um ambiente de trabalho" diz ele.
Tratando-se de conseqüências negativas, O'Leary sugere o uso de exemplos práticos. Por exemplo, quando seu computador tem um vírus, você não pode usá-lo e, conseqüentemente, não pode executar tarefas importantes. Explique também aos funcionários que as violações de segurança individuais afetam toda a empresa. Alguns dos efeitos negativos podem ser mau atendimento ao cliente e possíveis processos judiciais. "Hoje em dia, os advogados estão começando a ficar entusiasmados com as possibilidades daquilo que chamam de 'downstream liability' (responsabilidade conseqüente). Se você não aplicou um patch, e alguém invadiu [sua rede de computadores] para atacar outra pessoa, [sua empresa] pode ser processada," diz ele.
Ao treinar os funcionários, dê mais reforço positivo do que negativo. O'Leary afirma que feedback negativo constante não ajuda a obter o desempenho que você deseja de seus funcionários.
Ressalte que segurança de computador significa ter bons hábitos diários. O guia "Common Sense Guide for Senior Managers" (Guia de bom senso para gerentes seniores) da Internet Security Alliance recomenda ter certeza de que o funcionário entendeu alguns tópicos de segurança importantes antes de emitir sua senha. Esses tópicos incluem proteção de senha, uso da Internet com segurança, como evitar scams de segurança e privacidade online e cumprimento das normas de privacidade da empresa.
Para ensinar os funcionários com eficiência, John Venator, CEO da CompTIA, recomenda tornar o treinamento de segurança uma parte essencial da orientação de novos funcionários. O'Leary também sugere enviar um instrutor às estações de trabalho dos funcionários atuais para instruí-los sobre as práticas de segurança. Além disso, ele recomenda disponibilizar documentação impressa aos funcionários para esclarecer suas questões de segurança.
Treinamento da equipe de TI: foco em padrões
Quando conversar com a equipe de TI sobre segurança, escolha um funcionário ou consultor para ajudá-lo com o treinamento. A pessoa da equipe de TI escolhida deve ser alguém capaz de responder a todas as possíveis perguntas técnicas da equipe. "Não cometa nenhum erro técnico diante de um público técnico porque você perde instantaneamente a credibilidade" diz O'Leary.
O departamento de TI deve assegurar que sua abordagem ao treinar funcionários de TI sobre questões e tecnologias de segurança esteja em conformidade com os padrões e as diretrizes do setor estabelecidos por organizações de segurança líderes em sua região. Por exemplo, nos Estados Unidos, as empresas podem procurar a Computer Security Division do National Institute of Standards and Technology ou o CERT Coordination Center da Carnegie Mellon University. Muitas empresas exigem certificação de segurança formal — não apenas treinamento — ao contratarem um funcionário para a equipe de TI, seja qual for a fonte de sua certificação: CompTIA, Microsoft ou qualquer outra organização certificante, esclarece Venator.
Entretanto, mesmo antes do treinamento, os funcionários de TI podem melhorar imediatamente a segurança instalando um firewall ou verificando atualizações de antivírus e patchs de segurança com freqüência, diz Randall Palm, diretor de TI da CompTIA. Isso é especialmente importante para os usuários remotos de rede. Além disso, tenha certeza de que conhece os recursos de segurança contidos em seus softwares e pergunte ao seu fornecedor a melhor forma de usá-los, sugere Venator.
Treinamento da equipe de gerenciamento: foco em liderança
A equipe de gerenciamento sênior desempenha um papel importante na segurança das informações, estipulando prioridades e persuadindo os funcionários da organização a seguirem orientações de segurança. Para ganhar apoio da equipe de gerenciamento, O'Leary sugere enfatizar a urgência da empresa em adotar procedimentos de segurança uniformes. "Levamos em conta o custo, mas também a missão da organização e a possibilidade de constrangimento que uma violação da segurança pode causar", diz ele.
Além de treinamento padrão, o gerenciamento sênior precisa de instrução especial sobre como proteger as informações confidenciais da empresa, como arquivos de clientes. Por exemplo, os executivos que viajam com laptops devem aprender a usar software de criptografia, diz O'Leary.
Treinamento de segurança dentro do orçamento
Para reduzir os custos, use recursos internos, sugere O'Leary. "[O departamento de treinamento] talvez consiga montar uma apresentação em vídeo de 10 minutos", diz ele. Como alternativa, alguém da equipe de TI pode se oferecer para fazer apresentações em reuniões de departamento. "Dê a eles 10 minutos para falar sobre o uso de criptografia ou sobre algum tipo de tópico relacionado à segurança". Para ficar a par das atuais ameaças de segurança aos computadores do seu setor e de sua região, garanta que a equipe de TI participe regularmente de grupos de usuários sobre segurança das informações.
Não descuide da segurança
Para manter-se seguras, as empresas precisam tornar a segurança de TI um hábito constante e diário. Depois de treinar seus funcionários sobre as melhores práticas de segurança, observe se ocorreram as mudanças de comportamento desejadas, diz O'Leary. As pessoas estão criando senhas mais adequadas? Os executivos em viagens de negócios estão usando criptografia? Existem menos incidentes graves de danos previsíveis causados por código mal-intencionado?
O guia "Common Sense Guide for Senior Managers" sugere que as empresas "criem, reforcem e revejam regularmente as diretivas de segurança". Para isso, o guia recomenda usar ferramentas de monitoramento de sistema e de rede juntamente com os procedimentos de relatório e análise.
Os canais de comunicação padrão em toda a empresa também podem ajudá-lo a garantir que os bons hábitos de segurança permaneçam. Segundo O'Leary, estes são alguns métodos que podem ser usados: lembretes por email, pôsteres, alertas de incidentes e até publicações de segurança trimestrais. "Um site intranet de segurança de TI também pode ser uma ferramenta de conscientização valiosa. Concursos com prêmios, charadas e jogos podem atrair as pessoas ao site", salienta ele.
Finalmente, todos devem entender que a segurança das informações é parte essencial de uma empresa moderna. As ameaças de segurança às redes são reais, e elas podem destruir os recursos de atendimento ao cliente da sua empresa. Palm explica: "o pior erro é sentir-se seguro o suficiente e relaxar nas tarefas diárias de aperfeiçoamento do seu modelo de segurança".
