Maturidade em programas de conscientização em cibersegurança: entenda o conceito e descubra o que ele pode dizer sobre a sua empresa
A maturidade em programas de conscientização em cibersegurança pode nos dizer muito sobre como a empresa investe ou não na segurança de seus dados, equipamentos, funcionários e clientes, nos mostrando se, por sua parte, há uma preocupação contínua e a longo prazo ou apenas uma medida para aderir a demandas da legislação ou outras normas de conformidade, sem real interesse na melhora dos hábitos que ocorrem dentro e fora de seu espaço.
Por isso, é muito importante que aprendamos muito bem como ela funciona, quais são os seus níveis de medição, o que ela pode explicitar sobre as prioridades da empresa e como ela pode impactar a rotina corporativa.
Aprendendo o conceito
A maturidade em programas de conscientização em cibersegurança nos mostra como a empresa com que estamos lidando vê e investe na área de cibersegurança por meio de programas de conscientização. Isso é um pouco óbvio pelo nome, mas é importante que entendamos muito bem isso, principalmente porque a maturidade é o elemento que irá nos mostrar como os programas de conscientização podem ou não ser efetivos, quais os riscos que a companhia corre e qual é a importância que ela dá para a seguranças dos dados de seus funcionários e clientes, o que é de suma relevância, principalmente em tempos de LGPD no Brasil.
Para medição da maturidade do programa de conscientização de cada organização, podemos utilizar o modelo de maturidade da SANS¹, composta por cinco níveis que medem a efetividade, o alcance e os impactos dos programas de conscientização em cibersegurança.
Dito isso, vamos ver cada um dos níveis de maturidade e como eles podem nos mostrar a preocupação das empresas com a cibersegurança em seus ambientes físicos e cibernéticos.
Nível 1 – Não existente
Neste nível, a empresa não possui nada. Ou seja, não há nenhuma tentativa por parte da companhia em implementar medidas de conscientização em segurança de qualquer tipo, principalmente por falta de recursos ou por ela não dar a devida importância ao assunto, visão errônea, visto que as ameaças virtuais e reais contra corporações crescem mais a cada dia, como é possível ver, por exemplo, pelo aumento de phishing em 28% no ano de 2019 (conforme pesquisa realizada pela provedora Cyxtera)².
Uma comparação simples para entendermos esse nível seria compará-lo com o hábito de praticar esportes ou fazer atividades físicas. Nesse caso, a empresa estaria “sedentária” e, assim como as pessoas que não possuem este hábito saudável possuem mais chances de adquirem certos problemas de saúde ou doenças, a companhia em questão acaba sendo mais vulnerável a riscos e ameaças, tanto no âmbito virtual quanto no âmbito da segurança física.
Felizmente, poucas empresas encontram-se nesse nível, principalmente com a implementação de novas leis relativas à segurança da informação e à cibersegurança, como a GDPR, na Europa, e a LGPD³, no Brasil. Porém, as companhias que estiverem neste patamar podem sofrer com muitos problemas, como perda de credibilidade por parte dos clientes, vulnerabilidade de informações, sanções legais e até mesmo perda financeira por meio do risco de golpes virtuais, como extorsões diversas e sequestros digitais.
Nível 2 – Foco em conformidade
Pensemos na seguinte situação: uma empresa, após receber relatórios de auditores por mal uso de dados e sistemas informatizados, decide implementar uma nova medida de conscientização em cibersegurança. Para tal, o estabelecimento decide organizar uma palestra anual, com algum funcionário da equipe de TI, e mandar boletins informativos (newsletters) para os trabalhadores, com uma frequência mensal.
Conseguiu imaginar a cena? Esse é o cenário presente no nível 2. Aqui, a empresa geralmente está interessada apenas em cumprir normas ou leis, não necessariamente desejando que haja uma melhora nos hábitos diários dos funcionários. Além disso, pode haver apenas a implementação de programas ad-hoc, ou seja, para finalidades específicas, não havendo tentativas de causar uma mudança no comportamento dos funcionários e colaboradores da companhia.
A título de simplificação, podemos pensar esse nível como a auto medicação quando estamos com algum problema de saúde, ou seja, quando estamos com uma dor de cabeça ou uma azia e apenas tomamos um analgésico ou um sal de frutas, não nos preocupando em ir a um médico e analisar se há algum problema real com nosso corpo ou com nossos hábitos de vida (como alimentação, atividades físicas e hidratação).
Assim, do mesmo modo que tomamos um remédio de gripe sem saber o que está causando nossa baixa imunização, algumas empresas também utilizam “remédios” eventuais para problemas localizados de cibersegurança, implementando medidas que não vão necessariamente amenizar o quadro de riscos e ameaças, e sim apresentar apenas soluções temporárias.
Infelizmente, a maioria das empresas encontra-se neste nível, principalmente por conta de falta de investimento em programas de conscientização em cibersegurança ou por ausência de interesse em obter um resultado de segurança a longo prazo, seguindo o mínimo dos requerimentos necessários para certas normas ou legislações sobre cibersegurança e segurança de dados.
Este fato é preocupante, visto que, por um lado, podemos pensar que este nível é ainda pior do que o 1, pois a empresa acaba tendo a ideia equivocada de que está fazendo algo para a segurança de seus dados, informações, estabelecimentos e funcionários, quando, na verdade, não possui uma solução eficiente e efetiva para seus problemas.
Nível 3 – Promoção de consciência e mudança
Na medida em que a empresa começa a ter uma maior preocupação com os hábitos de seus integrantes, há a passagem para o nível 3. Nesse nível, o maior objetivo é o de haver impactos e mudanças de comportamento, de modo a reduzir os riscos na empresa.
Muitas companhias não chegam nesse nível e ficam estagnadas no 2, principalmente por conta da maior dificuldade gerada em fazer essa promoção de consciência e mudança, que necessita de mais planejamento e de reforço contínuo durante todo o ano.
Assim, o nível 3 possui um maior foco em apresentar o conteúdo de conscientização de forma engajada e positiva, incentivando a mudança de comportamento no trabalho, na vida pessoal e nas viagens dos integrantes da companhia. Como resultado, os funcionários e equipes têm conhecimento das políticas e processos da empresa e podem, ativamente, prevenir, reconhecer e reportar incidentes.
Para entendermos melhor, podemos comparar esse nível com a tentativa, por parte de alguém, em mudar sua alimentação, pensando em adquirir uma vida saudável e mudar seus comportamentos alimentares, de modo a trazer benefícios e impactos por meio dessa mudança de comportamento. Assim, do mesmo jeito que alguém pode começar a comer mais frutas e leguminosas diariamente para melhorar seus hábitos alimentares, as empresas também podem investir em programas regulares e contínuos, com o objetivo de implementar uma mudança de comportamento e, assim, evitar futuros prejuízos e riscos.
Nível 4 – Sustentação a longo prazo
Nesse nível, como o próprio nome já diz, a conscientização em cibersegurança sustenta-se sob um programa existente, que promove consciência e mudança. Assim, a empresa tem como base o nível 3, mas deseja ir mais além, já que seu programa de conscientização já está se tornando mais consolidado. Com isso, além dessa base, nesse nível há a adição de processos e recursos para um ciclo de longo termo, incluindo, no mínimo, uma revisão anual e um update contínuo dos conteúdos de treinamento e dos métodos de comunicação.
Como resultado disso, o programa de conscientização se torna uma parte da cultura da empresa, estando sempre presente e engajando os funcionários e equipes da companhia, de modo a tornar-se algo quase automático por parte destes. Assim, esse nível pode ser comparado a uma rotina fixa de exercícios físicos, em que uma pessoa não consegue mais ficar sem uma carga semanal dessas atividades, já que elas viraram parte de sua cultura e rotina, sendo difícil para ela ficar sem aquilo.
Apesar disso, muitas empresas investem nesse nível apenas por um curto período de tempo, como um ano ou pouco mais. Contudo, se esse programa não for constantemente revisado e introduzido no ambiente, a cultura de cibersegurança irá morrer e os benefícios serão perdidos, assim como alguém que só faz exercícios regulares durante um ano e decide parar de repente.
Assim, é necessário que a empresa possua recursos para um programa de longo termo, que deve ser regularmente atualizado, já que a tecnologia, as leis e os cibercriminosos estão sempre se adaptando e mudando.
Nível 5 – Métricas robustas
No último nível da maturidade em programas de conscientização em cibersegurança, há todos os benefícios dos níveis anteriores, mas a isso, também podem-se somar certas formas de medir o progresso e o impacto do programa em questão, tendo como resultado sua melhora contínua e a possibilidade de demonstrar-se o retorno do investimento feito pela empresa.
Esse nível chama “medidas”, mas elas podem ser feitas nos níveis anteriores também. A questão aqui é que justamente há um programa de medição formal, não sendo uma simples contagem de quantas pessoas fizeram um certo tipo de treinamento ou quantos boletins informativos foram enviados pela empresa, e sim uma medição do impacto do treinamento em consciência feito pela empresa, medindo também a mudança no comportamento de todos os integrantes da companhia.
Dito isso, algumas perguntas podem ser usadas para nos ajudar a medir isso, como quais objetivos de aprendizagem têm sido mais ou menos efetivos? A empresa possui certos departamentos ou unidades que são/estão mais vulneráveis a ataques baseados em humanos (human based attacks) do que outros? A empresa está prevenindo mais ataques? A companhia está detectando mais incidentes? Está havendo uma redução dos riscos?
Assim, este nível pode ser comparado a ter hábitos rotineiros saudáveis e fazer, de tempos em tempos, alguns exames de sangue. Com isso, do mesmo jeito que o exame de sangue pode medir os benefícios de uma nova alimentação e da prática de exercícios físicos (como a diminuição dos níveis de colesterol e glicemia, por exemplo), o nível de medidas também nos ajuda a mensurar qual é o tamanho do impacto causado por essa nova cultura de cibersegurança que está inserida na empresa, explicitando os retornos financeiros e as melhoras causadas por esse programa.
Conclusão
Por fim, conclui-se que a maturidade em programas de conscientização em cibersegurança é um conceito muito importante, que deve ser estudado e aplicado por todos aqueles que têm interesse no mundo corporativo, principalmente aqueles que buscam implementar algum programa de conscientização em cibersegurança, mas não sabem muito bem como fazê-lo.
Uma boa opção para adquirir um nível alto de maturidade em sua empresa e garantir que seus funcionários e colaboradores passem a ter uma cultura em cibersegurança é a Hacker Rangers, que, criada pela Perallis Security, garante o processo de aprendizagem e mudança de comportamento seja divertido e eficiente por meio de uma plataforma 100% gamificada.
Assim, investir em conscientização em cibersegurança acaba não sendo apenas um investimento per se mas sim acaba gerando retorno financeiro e um impacto imensamente positivo na vida de todos os integrantes da companhia.
Fontes:
1 - https://www.sans.org/security-awareness-training/blog/security-awareness-maturity-model
2 - https://www.itforum365.com.br/ataques-de-phishing-aumentaram-28-em-2019-revela-pesquisa/
3 - https://www.perallis.com/news/a-lgpd-vai-pegar-no-brasil
Equipe de Conteúdo Perallis Securrity