Nos últimos anos, muito tem sido discutido entre profissionais, analistas e fornecedores sobre a área de conscientização quanto à segurança — e o que constitui um bom programa, como ele pode ser mensurado e por que ele é necessário.
Com base em centenas de conversas com clientes de vários portes e complexidades, está claro que métodos tradicionais de treinamento para conscientização quanto à segurança baseados em conformidade estão deixando a desejar. O mesmo vale para nossos métodos de mensurar sua eficácia.
Se o objetivo é reduzir o risco de cibersegurança relacionado a ações e comportamentos de funcionários, precisamos, além de aumentar o nível de conscientização e promover mudanças comportamentais sustentáveis, promover também uma cultura de valorização da segurança.
Desafios com programas tradicionais de conscientização quanto à segurança
Programas tradicionais para aumentar o nível de conscientização quanto à segurança são há muito tempo uma parte importante das iniciativas de cibersegurança das empresas. Por que eles não têm sido eficazes?
Abordagem única para tudo
Muitos programas tradicionais utilizam, ano após ano, o mesmo conteúdo genérico de treinamento orientado por conformidade. Essa abordagem deixa de considerar as situações específicas do mundo real que funcionários em diversos cargos podem encontrar dentro de uma empresa.
Uma metodologia única para todos os casos pode resultar em perda de engajamento e falta de relevância para os funcionários. Entretanto, oferecer uma abordagem adaptada pode ser algo desafiador para as equipes de segurança, especialmente quando estas carecem de recursos.
Falta de conexão com o mundo real
Programas tradicionais podem agregar conhecimentos, mas frequentemente têm dificuldades para traduzir esses conhecimentos em mudanças comportamentais sustentáveis. Pesquisas realizadas para o relatório State of the Phish de 2024 da Proofpoint revelaram que mais de dois terços dos funcionários (68%) agem deliberadamente de maneira arriscada, apesar de 99% das empresas contarem com um programa de conscientização quanto à segurança.
A maioria dos programas de conscientização são como ensinar alguém a pular de paraquedas apenas assistindo alguns vídeos e lendo uma política. Porém, quando essa pessoa pula do avião, ela fica desorientada. Ela não está acostumada com o vento e com o ar rarefeito e não se sente segura quanto ao momento certo de acionar o paraquedas.
Da mesma forma, funcionários que recebem somente treinamento passivo sobre segurança têm dificuldades para aplicar seus conhecimentos quando estão diante de ameaças do mundo real. Os funcionários podem compreender conceitos de segurança, mas têm dificuldades para aplicá-los consistentemente em seu trabalho diário.
Por que mudar a terminologia não adianta?
Uma nova expressão está surgindo em nossas discussões com clientes —gerenciamento de risco humano.
Muitos clientes nos dizem que querem adotar essa abordagem. Eles dizem que querem medir o risco, mas não têm certeza do que mensurar e como proceder em relação a isso. A complexidade de obter dados de diversos fornecedores e fontes, derivar algum sentido deles e tomar decisões adequadas é um desafio. Eles também mencionam que desejam utilizar automação, ludificação e outros elementos para ajudá-los a conseguir um engajamento melhor dos funcionários.
Estas são excelentes ferramentas. Sem dúvida, devemos compreender o risco e encontrar maneiras de envolver os funcionários mais efetivamente. Contudo, são apenas ferramentas que deixam a desejar na compreensão de como mudar comportamentos. Isso requer um aprofundamento em princípios e técnicas de ciência comportamental, algo que a maioria das equipes de cibersegurança não costumam ser treinadas para fazer.
Alguns clientes, analistas e fornecedores chamam a prática de conscientização quanto à segurança de “gerenciamento de risco humano” sem compreender o que essa expressão significa. Trata-se de uma expressão equivocada e depreciativa. Ela sugere que seres humanos são “arriscados” e que precisam ser “gerenciados”. Ela perpetua a ideia de que o funcionário é o problema e promove uma mentalidade nada inclusiva, do tipo “nós contra eles”.
Na Proofpoint, nós acreditamos que há mérito em entender os funcionários — o que eles fazem, o que eles sabem e no que eles acreditam. Esse entendimento também precisa ser quantificado para que se possa criar um programa que promova mudanças comportamentais sustentáveis.
A conscientização é fundamental
Vemos como um sinal positivo o fato de que os clientes nos consultam sobre gerenciamento de risco humano. Mesmo que a expressão em si seja negativa, ela nos dá a oportunidade de falar mais amplamente com os clientes sobre programas de cultura e comportamentos de segurança e o papel da conscientização dentro deles.
A conscientização serve como uma base fundamental. Ela oferece aos funcionários compreensão e conhecimentos essenciais sobre ameaças em potencial, melhores práticas e a importância ter a segurança sempre em mente durante seu trabalho cotidiano.
Não queremos descartar os fundamentos da conscientização. Em vez disso, precisamos que eles evoluam incorporando conteúdo adequado aos cargos e responsabilidades específicos das pessoas dentro da empresa. Esse método reconhece que posições diferentes enfrentam desafios de cibersegurança específicos. Conhecimentos específicos para cada cargo, ameaça e privilégio são necessários para que, efetivamente, comportamentos mais seguros sejam adotados e ameaças sejam combatidas.
Recomendamos complementar o seu programa existente com uma educação sobre ameaças relevante, fornecida em segmentos curtos e em vários formatos, como:
- Simulações interativas
- Experiências de ludificação
- Campanhas contínuas de reforço
Nós incentivamos nossos clientes a procurar maneiras de oferecer mais orientação em tempo real e, com isso, incentivar os funcionários a fazer escolhas mais seguras. Recomendamos o envolvimento e a participação de um grupo de funcionários de diversos cargos. Você talvez se surpreenda ao descobrir que incluí-los como parte da solução resulta em um manancial de criatividade e engajamento.
A cultura é o mais importante
O conceito de que “a cultura come a estratégia no café da manhã” é altamente relevante para programas de cultura e comportamentos de segurança. Ele enfatiza o papel fundamental desempenhado por uma empresa no sucesso das iniciativas de segurança. A cultura é o alicerce sobre o qual os comportamentos de segurança são construídos. Até mesmo a estratégia de segurança melhor projetada pode falhar se não tiver o apoio de uma cultura que valorize e priorize a segurança.
Uma estratégia de segurança define o plano e as metas para proteção dos ativos de uma empresa. Contudo, é a cultura que determina o quão efetivamente essas estratégias são implementadas. Não importa qual fornecedor ou tecnologia você escolha, se a sua empresa não adotar completamente uma cultura com foco na segurança, sua capacidade de conseguir uma mudança comportamental sustentável por parte de seus funcionários será reduzida.
Uma cultura com foco na segurança começa e é sustentada pelo topo. Tenha em mente que o topo não se limita ao CISO. Os melhores programas também estão vinculados a indicadores fundamentais de desempenho abrangentes e não apenas à equipe de segurança. Eles são desenvolvidos com uma equipe multidisciplinar que promove responsabilidade em vez de medo. Esses programas também:
- Promovem maior participação voluntária
- Consideram o funcionário como solução e não como problema
- Utilizam métricas de cibersegurança relacionadas a objetivos operacionais e estratégicos
Além disso, os melhores programas reconhecem que as atividades dos funcionários que ajudam a reduzir incidentes de cibersegurança também:
- Melhoram a postura de risco geral da empresa
- Aumentam a produtividade da força de trabalho
- Afetam a realização de metas estratégicas e previsões de receitas e custos
Isso pode parecer difícil de conseguir, mas há uma maneira pela qual você pode começar agora mesmo. A PIPE Framework da Gartner pode ajudar você a ir além da conscientização quanto à segurança, rumo a uma mudança comportamental sustentável. Ela também pode ajudá-lo a levar adiante uma cultura com foco na segurança.
Conclusão
Você precisa ter um suporte executivo forte, metas alinhadas, criatividade e as ferramentas certas para avançar rumo a uma mudança comportamental sustentável. Assim como não há atalhos para se tornar um paraquedista qualificado, atingir metas requer prática, orientação e técnicas eficazes.
Na Proofpoint, nós aprimoramos continuamente nossas soluções para satisfazer as necessidades de clientes atuais e futuros. Nós agradecemos sua opinião sobre nosso trabalho. Caso queira saber mais ou continuar a discussão, junte-se a nós em uma conferência Proofpoint Protect futura em Londres, Austin ou Chicago.