Conscientização de usuários e Segurança da Informação

A tarefa de gerir a Segurança da Informação (SI) dentro de uma organização é complexa e abrangente. O assunto, até pouco tempo desconhecido fora das grandes empresas e do círculo de profissionais especializados, tem vindo a tona com maior freqüência, provavelmente impulsionado por uma mudança gradual e constante pela qual vem passando o universo da SI como um todo nos últimos anos.

Até bem pouco tempo atrás, poderíamos classificar os problemas de segurança mais comuns basicamente em duas categorias:

1. Malware (vírus, trojans, worms, etc.).
2. Pichação de páginas na Internet.

Este cenário hoje está bastante transformado e o impacto dos problemas de segurança também. Com relação ao impacto houve um grande aumento pois, conforme apontado por diversos especialistas da área nos últimos anos, a tendência exponencial de crescimento dos incidentes de segurança nas organizações se manteve. Já o cenário se alterou basicamente de duas formas:

1. Os vírus de computador que causavam paradas pontuais em estações e servidores trazendo muitas dores de cabeça, se transformaram em worms bastante sofisticados cuja ação é normalmente capaz de derrubar todos os links de comunicação da organização em virtude do tráfego gerado, parando sistemas de ERP, CRM e comprometendo, em alguns casos, processos produtivos geradores de receita.
2. As pichações de páginas foram substituídas por fraudes dos mais variados tipos e parte dos adolescentes responsáveis por elas no passado está hoje sendo aliciada por quadrilhas especializadas em crimes virtuais.

O clima é de guerra. Os mais observadores perceberão, inclusive, que a tática é de guerrilha: ao invés de se expor atacando diretamente as redes das organizações, queimando cartucho onde os crackers sabem que muitos mecanismos de proteção e detecção estão implementados, a estratégia é atacar o famoso elo fraco da segurança, conhecido pelo nome genérico de usuário.

Todos os guias de melhores práticas de gestão de SI apontam para a necessidade de envolver os usuários no processo de segurança mas, mesmo a ISO 17799:2005, considerada a melhor referência hoje no assunto, pouco fala sobre o processo. A necessidade está lá, mas falta detalhamento e direcionamento sobre como isso deve ser feito.

Isso não chega a ser um problema, sendo até considerado por muitos uma característica: não especificar detalhes sobre como as ações devem ser tomadas permite aos gestores criar e adaptar estratégias da forma que melhor se encaixam na sua organização.

Sendo assim, por onde começar?

Primeiramente, com o objetivo em mente. Não é possível iniciar uma campanha de conscientização sem algumas tarefas preliminares básicas como, por exemplo, o desenvolvimento de uma Política de Segurança da Informação, nem que ela seja pequena e superficial. A organização tem que ter bem claro quais os pontos a serem abordados, quais os mais importantes, os mais urgentes, os que trazem maiores prejuízos, etc. O apoio da alta direção também é fator crucial neste e em todos os outros assuntos ligados a SI. Avalie também o conhecimento interno que a organização tem no assunto e avalie a necessidade de se contratar uma empresa especializada. Geralmente, tais empresas possuem palestrantes experientes e conhecimentos importante para o sucesso da campanha. Caso se sinta confortável em tocar o processo sozinho ou não possua orçamento de sobra, considere pelo menos um treinamento no assunto para os membros da equipe interna que trabalharão no projeto.

O passo seguinte, muitas vezes ignorado, é procurar a área de Recursos Humanos. Conscientizar usuários sobre a importância da SI não é muito diferente de conscientizá-los a respeito da importância de se economizar água. A equipe do RH normalmente tem experiência no assunto e pode ajudá-lo em várias tarefas como a criação de material de apoio, organização de palestras, etc.

Com os objetivos em mente e o apoio garantido, o próximo passo é escolher as mídias que serão utilizadas para transportar suas idéias e desenvolvê-las. Algumas organizações preferem palestras, outras material impresso. Algumas preferem pirâmides nas mesas, outras avisos pendurados no teto. Combinar diversas mídias costuma ser a melhor e mais eficaz idéia.

Mas, independente da mídia, o importante mesmo é a mensagem. Procure mantê-la simples e concisa. Explique porque a organização precisa da colaboração dos funcionários, quais são os prejuízos atuais e quais os cenários futuros caso nada seja feito. A Segurança da Informação não é muito diferente da segurança que as pessoas estão acostumadas a vivenciar em seu dia-a-dia. Faça analogias e metáforas: elas são ótimas ferramentas para absorção e retenção de conteúdo. Lembre-se também de adaptar a sua mensagem de acordo com a audiência. Usar estratégias diferentes para usuários de diferentes níveis hierárquicos é uma ótima idéia.

Quando estiver apresentando o assunto, tome cuidado para não transformar uma Palestra de Conscientização de SI na Lista de Punições de SI. Ao invés de punir o infrator, prefira, sempre que possível, a premiação do colaborador. Isso cria um controle social que é apontado por muitos sociólogos como um dos mecanismos mais efetivos que podem ser colocados em cima de um indivíduo. Ao ver que alguns usuários estão tendo posturas condizentes com a segurança e recebendo prêmios por isso, os outros se sentirão coagidos a acompanhá-los. Para a premiação vale também o uso de criatividade: de brindes a cafés da manhã com a Diretoria.

Um outro passo bastante importante é dar continuidade ao trabalho feito. Isso se dá de duas formas: uma óbvia e outra nem tanto. A óbvia é continuar desenvolvendo materiais novos e utilizá-los para lembrar os usuários sobre os assuntos abordados no passado. A menos óbvia é estabelecer procedimentos que permitam que os usuários colaborem de fato.

É muito comum casos de organizações que gastaram tempo e dinheiro em campanhas e não tinham, por exemplo, procedimentos bem definidos que permitiam aos usuários relatar incidentes de segurança. Isso faz com que eles tenham a sensação de que sua iniciativa não é realmente importante e que sua ajuda não é útil. Esse erro, além de ser péssimo para o processo de conscientização em si, desperdiça uma oportunidade de ouro de dar um passo adiante e passar de uma realidade de usuários conscientizados para uma de usuários participativos. Uma vez que eles são hoje um alvo em potencial para intrusos, devemos vê-los como soldados e usá-los, sempre que possível, como se eles fossem uma extensão dos mecanismos de detecção e resposta.

A SI segue como um assunto novo para muitos e o investimento em treinamento, para todos os níveis da organização, é ainda hoje uma das melhores e mais efetivas formas de se usar o orçamento disponível.

Originalmente publicado no Portal Módulo em 18/10/04.