Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9734′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#191919′]

Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

Conhecimento de segurança é proteção

Quando se fala em segurança da informação nas empresas, ter pessoas competentes e prontas para encarar as ameaças do dia a dia com esperteza e responsabilidade é a sua primeira linha de defesa.

O elo mais fraco de um plano de segurança é sempre o fator humano, o usuário, pois não há nenhuma tecnologia, nenhum tipo de software que possa impedir o deslize de um funcionário desatento.

Por isso, uma forte segurança da informação nas empresas, mantendo a integridade, confiabilidade e disponibilidade dos dados do negócio, depende da capacitação dos colaboradores para executar suas funções de maneira, de fato, segura.

Contudo, nem todos os colaboradores precisam ter o mesmo nível de conhecimento de segurança, o que torna fundamental que se entenda a diferença entre educação, treinamento e conscientização.

Entender as diferenças entre estes três estágios de aprendizado é essencial para aplicá-los da forma mais adequada e envolvendo as pessoas certas na sua empresa.

Nem todos precisam de uma educação ou treinamento, por exemplo, mas para conquistar uma cultura de segurança da informação nas empresas é necessário que todos sejam, ao menos, conscientizados.

Errar é humano. Qualquer pessoa está sujeita a cometer um deslize que possa colocar dados pessoais ou da empresa em risco.

Em nosso comportamento, costuma-se usar os caminhos mais confortáveis, e nem sempre mais cuidadosos, até porque não se sabe que, em determinadas situações, é preciso ter cuidado. Isto é, nem todos estão familiarizados com as boas práticas de segurança da informação.

60% dos ataques tem como causa o fator humano

Evidência disso é o relatório da   X-Force 2016 Cyber Security Intelligence Index, que concluiu que “em 2015, 60% de todos os ataques foram realizados por insiders, seja com intenções maliciosas ou aqueles que serviram como atores inadvertidos”.

Ou seja, a maioria dos ataques à segurança de dados sofridos por empresas teve como causa o fator humano interno – seja ele mal-intencionado ou simplesmente ignorante em relação à segurança da informação.

Neste sentido, o relatório 2016 Cost of Insider Threats do Ponemon Institute realizou uma pesquisa em 54 organizações que, em 12 meses, tiveram 874 incidentes envolvendo insiders. Destes, 68% foram consequência de negligência, e o custo médio por incidente passou de U$4 milhões.

Faz sentido então que haja preocupação em transmitir conhecimento de segurança para essas pessoas, de modo que cada um possa executar suas funções de maneira não apenas eficiente, mas segura.

Contudo, para fazer isso da maneira mais adequada e eficaz possível, é preciso entender quais as necessidades e riscos envolvidos na atividade, e assim entender o quanto a pessoa de fato precisa conhecer de segurança da informação nas empresas.

Para entender a diferença entre educação, treinamento e conscientização, vamos começar com uma analogia:

A maior parte das pessoas que você conhece provavelmente gosta de ir à praia. De fato, é uma atividade muito comum para muitas pessoas e que exige diversos cuidados: passar filtro solar, se manter hidratado, e, principalmente, ter atenção ao mar.

Você deve estar se perguntando o que a praia tem a ver com o assunto desse artigo, mas calma, vamos te explicar:

Conscientização

Quem nunca foi à praia ou não convive com esse ambiente de forma habitual pode não entender como o mar é – além de muito atrativo – perigoso. Talvez essa pessoa também não saiba que cuidados tomar, de modo que pode acabar correndo riscos desnecessários.

Alguém que esteja mais habituado e conheça ao menos um pouco sobre os perigos de um mar revolto, sabe o que significa a bandeira vermelha de correnteza, e, idealmente, sabe identificar quando é seguro se divertir e se refrescar nas ondas e quando é melhor se manter na segurança da areia.

Essa pessoa que tem uma noção sobre como se relacionar com o mar é uma pessoa que tem consciência sobre os perigos que ele pode apresentar e como identificá-los: ela está conscientizada sobre as ameaças que pode encontrar e como evitá-las.

Conscientização, portanto, é um estado constante de awareness, ou seja, de estar ciente das ameaças que existem, como identificá-las, e como evitar ser uma vítima.

Do ponto de vista da segurança da informação nas empresas, um colaborador plenamente conscientizado conhece as boas práticas para não se encontrar no centro de um incidente de vazamento de informações.

Ele sabe como se prevenir contra ameaças de visual hacking, engenharia social, e phishing, por exemplo, e sabe identificar o perigo em potencial, mesmo que não entenda todos os detalhes por trás de cada ameaça ou de como resolver um incidente.

Treinamento

É nestas condições que acontece um incidente – um evento que gera desdobramentos e consequências potencialmente danosos para os envolvidos. Pode acontecer de a pessoa começar a se afogar, ou no mínimo, levar um caldo daqueles. Nestas horas, um indivíduo treinado em salvamento ou primeiros socorros pode ser o fator decisivo para a reversão do incidente que – potencialmente – poderia resultar em desastre.

Da mesma forma, quando falamos de segurança, alguém não conscientizado pode clicar em links suspeitos, abrir anexos indesejados, tirar fotos que revelem algo confidencial no ambiente de trabalho, e até submeter credenciais em formulários fraudulentos.

Cada uma dessas ações gera incidentes de segurança da informação. Para lidar com determinadas ameaças e incidentes, uma pessoa precisa estar treinada – seja para responder rapidamente ou até mitigar danos.

Treinamento, então, consiste no desenvolvimento de competências (skills) necessárias à execução de uma atividade ou função. Em se tratando de segurança da informação nas empresas, alguns profissionais de determinados setores ou que lidam com determinadas categorias de informação precisam de conhecimento e competências um nível acima do alcançado com a conscientização. É o caso de colaboradores que atuam em áreas como (porém não limitadas a):

– área de finanças;

– desenvolvimento de sistemas;

– auditorias;

– propriedade intelectual;

– processos judiciais.

É importante ressaltar que a base sobre a qual os skills desenvolvidos em um treinamento são construídos é, idealmente, a do conhecimento preparatório absorvido em um programa de conscientização.

treinamento efetivo é construído sobre uma base de conscientização

Da mesma forma que uma pessoa pode ter sido treinada por um curso de primeiros socorros ou salvamento para executar alguns passos e conter ou amenizar um incidente, alguém treinado para segurança da informação saberá operar controles, técnicas, e atuar com gerenciamento de risco e política de segurança, por exemplo.

Isso pode incluir contingenciamento, lidar com problemas de usuários e colaboradores, controlar processos de autenticação, acesso, e até operar permissões de sistemas seguros.

Os treinamentos têm um objetivo mais focado em competências para execução, e se diferenciam da conscientização na medida em que esta tem foco em estimular atenção e hábitos de boas práticas.

Educação

A educação, por outro lado, está associada a um corpo de conhecimento formado por um conjunto de competências, capacidades, e entendimento teórico adequados a diversas funções.

Idealmente, a educação aborda conceitos, princípios e questões de maneira multidisciplinar, sob vários pontos de vista e abordagens, entendendo aspectos não só tecnológicos do assunto estudado, como também sociais.

As pessoas que são educadas são os profissionais e especialistas, e normalmente o são por consequência de um grau de estudo, como um diploma universitário ou por cursar uma pós-graduação ou especialização.

Na analogia que vínhamos tecendo, alguém que tem uma educação para lidar com incidentes na praia e no mar pode ser um profissional de salvamento, como um bombeiro ou salva-vidas, ou até paramédicos, em oposição a uma pessoa apenas treinada em salvamento ou primeiros socorros.

É importante destacar que programas de treinamento podem ser mais longos do que se imagina, como o procedimento necessário para se obter uma certificação. Ainda assim, estes não se encaixam no conceito de educação, pois normalmente têm apenas uma competência ou skill como objetivo final, e não a construção consolidada de conhecimento amplo e profundo em torno de uma área do saber.

Segurança da informação nas empresas – qual caminho seguir?

Apesar de percebermos claramente a diferença entre educação, treinamento e conscientização, deve-se entendê-los como fases de um processo contínuo de aprendizado. A conscientização deve ser alcançada para que depois seja possível aplicar um treinamento, que pode, posteriormente, evoluir para uma educação.

Ao entender a diferença entre os três estágios, resta saber como isso pode ser adequado às necessidades de segurança da sua empresa. Bem, em primeiro lugar, é fundamental que uma empresa tenha uma Política de Segurança da Informação (PSI) adequada às necessidades e riscos do negócio.

Ela é a base que fundamenta e direciona os planos de segurança da empresa. Para que se tenha um movimento de conscientização, treinamento, ou educação, é preciso primeiro que se tenha clareza em relação aos objetivos e necessidades evidenciados pelas diretrizes de uma PSI.

As pessoas que coordenam o plano de segurança de uma empresa normalmente são as que têm algum tipo de educação no assunto. Serão essas pessoas também que definirão os cursos de ação mais adequados a se seguir para cada área da empresa – se apenas conscientização, ou se também treinamento de segurança.

Um exemplo de diferenciação é que enquanto todos os funcionários precisam estar conscientizados, alguns com acesso a informações mais delicadas e que trabalham com operações mais sensíveis precisam ser treinados. Segundo o relatório Insider Threat Spotlight, da Crowd Research Partners em parceria com o LinkedIn Group Partner Information Security, a falta de treinamento de funcionários e a falta de conscientização foram as razões mais citadas (62%) para o aumento dos ataques de insider.

Colaboradores da área de comunicação, por exemplo, precisam ser conscientizados como quaisquer outros para se comportarem de modo a evitar deslizes e a se prevenirem contra ataques de engenharia social, como tailgating ou visual hacking, que podem resultar em vazamento de informações, por exemplo. Indivíduos que trabalhem em setor financeiro, porém, precisam estar preparados para lidar com ameaças mais complexas e direcionadas, como o spear phishing.

Desta forma, fica evidente que a resposta é transmitir o conhecimento necessário aos colaboradores certos com o objetivo de construir uma cultura de segurança da informação na empresa.

Apesar de simples, a solução pode ser trabalhosa se as pessoas envolvidas ainda não têm hábitos orientados à segurança. Desse modo, é preciso o abandono de práticas ruins para a construção de novos hábitos orientados à segurança. E para isso, é necessário um programa de conscientização.

Como começar: um programa de conscientização

Para manter a segurança da informação nas empresas, é imprescindível que os usuários estejam informados sobre as diretrizes de segurança e os riscos que enfrentarão, e assim entendam suas responsabilidades no que tange à Política de Segurança da Informação.

conscientizar é o primeiro passo da trilha de aprendizado

Para que isso seja consistente e duradouro, todavia, é necessária uma mudança de hábitos, e para isso, um programa de conscientização é sempre a melhor opção. Conscientizar é o primeiro passo da trilha de desenvolvimento de conhecimento e o mais fundamental deles.

Um programa de conscientização começa com a intenção de garantir a conformidade com a política de segurança e evolui para o objetivo de criar uma cultura de segurança e um ambiente mais seguro. Como destacamos antes, é importante que se analise o contexto do negócio, os riscos e processos envolvidos e as necessidades da empresa para aí traçar o plano de ação.

Além disso, a segmentação do público e a difusão da informação de formas diversas, reforçada por múltiplos canais são fundamentais para a fixação do conteúdo ao longo do tempo. E por falar em tempo, um programa costuma ser um processo duradouro – maior que uma campanha, por exemplo, e por isso são essencialmente diferentes.

Por esta razão, um programa de conscientização precisa ser dividido em ciclos para que as informações e atividades permaneçam relevantes de acordo com a evolução do público envolvido. Esta evolução é avaliada pelo cruzamento de dados e métricas obtidas ao longo da fase anterior e desde o início do programa, de modo que também é possível identificar grupos de risco que precisam de mais atenção.

É bom lembrar também que além de reforçar comportamentos que se quer incentivar, há que se repreender comportamentos que se pretende afastar. A informação – no caso, por meio da conscientização – tem sempre de vir antes das exigências de conformidade, claro, pois não faz sentido aplicar sanções se os colaboradores não têm clareza sobre o que é esperado deles, de modo que podem ficar frustrados e perderem engajamento.

Como o objetivo de um programa de conscientização é ser o meio que comunica a política de segurança de uma empresa para criar hábitos mais seguros e, idealmente, uma cultura de segurança, ele precisa ser implementado em vários canais, direcionados a vários níveis correspondentes da organização, inclusive aos executivos.

engajamento é um dos fatores mais relevantes para um processo de conscientização

Aliás, engajamento é um dos fatores mais relevantes para um processo de conscientização. Por isso, sempre ressaltamos o quão importante é que a alta gerência da empresa esteja também envolvida e engajada no projeto. O exemplo de executivos transmite a ideia de que a segurança é um valor da empresa e que precisa ser reforçado e desenvolvido.

Além disso, o engajamento geral é tão importante para segurança da informação nas empresas, que bons programas devem trabalhar com promotores da iniciativa, identificados na segmentação de público, e que ajudam a avançar a agenda do programa.

Lembre-se:

Em resumo, a diferença entre educação, treinamento e conscientização é:

Educação está associada a um estudo mais amplo e profundo de assunto e seu contexto, sob diversos pontos de vista e considerando múltiplos aspectos. Costuma estar associado a um diploma ou grau de ensino.

Treinamento é voltado à obtenção do conhecimento e das competências necessárias à execução de uma função – é mais formal e focado em performance profissional e requer um papel ativo no processo de aprendizado.

Conscientização tem por objetivo mudar comportamentos para fazer com que as pessoas tenham atenção à segurança e a boas práticas. Conscientizar é ideal para uma audiência ampla e diversa, e depende de uma comunicação clara, atrativa, e envolvente dos conceitos que se quer transmitir.

Cada um é uma etapa de um processo de aprendizado que pode ser contínuo a depender de suas necessidades e aspirações. Pode ser que nem todos os seus colaboradores precisem ter uma educação formal em segurança da informação, e é possível que apenas uma porcentagem precise ser treinada.

Porém, atualmente, em que o mundo digital permeia cada vez mais cada aspectos de nossas vidas e geramos mais dados do que podemos compreender, de modo que a informação é a vantagem competitiva mais valiosa do mundo… a conscientização do usuário é absolutamente fundamental para a segurança da informação nas empresas.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]