Todos os anos, as empresas investem na segurança da informação, ainda que, como na maioria das empresas do Brasil, seja uma pequena quantia. Entretanto, quanto desse orçamento é aplicado em programas de conscientização, para que os dados sejam devidamente protegidos e falhas e violações não ocorram com a frequência que vemos atualmente?

Confira quatro motivos pelos quais seus programas de conscientização não têm surtido o efeito necessário:

A má governança

Ocorre quando a empresa apenas diz às pessoas o que não fazer, mas não realiza a promoção de comportamentos definidos na alta direção da companhia. É preciso estabelecê-los em procedimentos formais e orientações por toda hierarquia, de cima para baixo, com, por exemplo, um risk assessment.

Baseando-se no medo

Em oposição à promoção positiva de procedimentos e orientações, muitos esforços de sensibilização são focados em assustar os colaboradores, a fim de que estejam atentos ao tipo de e-mail que abrem, às informações acessam ou compartilham. Isso acaba atrapalhando a produtividade, pois o e-mail é uma ferramenta crítica para o negócio. Se os funcionários tiverem medo de executar uma função, nunca ficarão confiantes para realizá-la de forma segura.

Mentalidade de hackers

Parecido com o item acima, esse tópico demonstra que muitos programas de conscientização dependem de dizer às pessoas como um hacker age e, em seguida, dizer a elas como o evitar. Por exemplo, dizem como um hacker pediu uma senha pelo telefone e, em seguida, explicam que esta é a razão pela qual não se deve conceder esse tipo de informação. Na verdade, o importante é promover comportamentos ditados pela governança primeiramente, para só depois aplicar informações de ordem técnica.

Não considerar sucessos

Avaliar os prejuízos causados por falhas na segurança promovidas por funcionários é importante, mas também considere a quantidade de spams e outros e-mails suspeitos não são abertos.

Cada vez que um usuário tem uma atitude apropriada, isto é um sucesso. Como qualquer outra medida preventiva, a conscientização não é perfeita. No entanto, ao contrário de muitas ferramentas técnicas, em geral não há registros criados para ataques bloqueados, certo?

Tratar a conscientização como uma atividade ocasional

Ao considerar que programas de conscientização de segurança devem ocorrer somente quando há falhas constatadas, a empresa coloca-se novamente em risco. A cultura de segurança da informação de uma empresa muda a partir de exemplos a serem seguidos diariamente. Mais do que uma campanha no ar, é vital que a empresa trabalhe esse tema em todas as ocasiões, desde a postura da diretoria até a comunicação interna.

O risk assessment é o início da construção de uma estratégia de segurança efetiva e também pode colaborar significativamente para o programa de conscientização da sua empresa. Baixe o whitepaper da PROOF Saiba como implementar um risk assessment efetivo e obtenha a base perfeita para a criação de um bom plano de segurança da informação.