Home > Blog > Como treinar funcionários em questões relacionadas à segurança da informação de forma eficiente

Como treinar funcionários em questões relacionadas à segurança da informação de forma eficiente

19.09.2023

Voltar

Aproximadamente 66% dos incidentes de segurança da informação consistem em violações não intencionais por parte dos funcionários. Em 14% de todos os casos eles se tornam o "ponto de entrada" para os intrusos externos. Softwares específicos ajudam a lidar com esta questão; entretanto, é impossível proteger a organização de forma eficiente se os funcionários não forem preparados para lidar com questões relacionadas à segurança da informação. Muitas vezes, a tarefa de organizar os cursos educacionais é delegada a funcionários, que muitas vezes não entendem como lidar com a tarefa. Então, o que pode ser feito para que os treinamentos sejam realmente úteis?

Os especialistas do SearchInform treinam anualmente alguns milhares de pessoas. Os treinamentos são direcionados a funcionários de órgãos estatais e empresas privadas, que operam nos mais distintos ramos de negócios. Normalmente são funcionários que trabalham com dados pessoais dos clientes e dos cidadãos. A consciência e a atenção dessas pessoas freiam as intenções de pessoas mal-intencionadas. Neste artigo, vou compartilhar algumas observações, baseadas em nossa experiência prática na esfera do desenvolvimento de cursos de treinamento e capacitação.

O que ensinar aos usuários

Os métodos de engenharia social estão no centro das atenções nos últimos anos. Por isso, os agentes de segurança da informação têm se concentrado excessivamente nesta questão. Entretanto, deve-se notar que os métodos, utilizados para realizar ataques não são limitados ao phishing e outras técnicas de engenharia social.

Então, o que mais temos?

Por exemplo, quebra de senhas fracas, uso de senhas corporativas para proteção de contas privadas, falta de implementação de autenticação multifatorial. Além disso, as pessoas tendem a desconsiderar sua própria responsabilidade pela exposição acidental ou deliberada de dados.

Abaixo você pode encontrar a lista de temas, que recomendo abordar durante as sessões de treinamento:

  • Quais técnicas de engenharia social os fraudadores usam - esta lista varia de manipulações via e-mail/chamadas telefônicas até o uso de deepfakes
  • Regras de segurança da informação quando se trabalha remotamente e quando se trabalha durante as viagens de negócios - SSL, VPN, etc. Organização da comunicação, realização de reuniões, troca de dados quando se trabalha remotamente
  • Regras para política de senhas e autenticação multifatorial - é importante explicar aos participantes do curso que tipos de senhas são confiáveis; onde é permitido manter a senha, se é possível lembrar as senhas; por que é muito mais fácil adivinhar a senha de um usuário do que parece ser
  • Higiene digital - como se comportar em redes sociais, como utilizar os espaços/serviços públicos e outros recursos
  • Regras para trabalhar com informações corporativas - explicar, o que é segredo comercial; quem possui dados corporativos; falar sobre a responsabilidade legal pela guarda e exposição de dados (LGPD/GDPR), etc.

Como organizar o processo de formação

Há muitas opções de como treinar funcionários em questões relacionadas à segurança da informação. Estes métodos incluem, mas não estão limitados a: palestras, jogos, simulações. Graças a novos serviços e plataformas, os treinamentos podem ser realizados tanto presencial como remotamente. Existem plataformas atualizadas que permitem aos usuários desenvolver seus próprios cursos de forma absolutamente gratuita.

Aprendendo através de jogos: faça seu próprio jogo de segurança da informação; prepare a lista de perguntas relacionadas ao jogo; faça uma busca de segurança da informação; simule situações, use jogos destinados ao treinamento de vendedores.

Treinamento de combate: GoPhish.

Educação online: Moodle e análogos, Google Forms.

As pessoas tendem a subestimar o significado da proteção de dados e não se importam com o fato de que um incidente de segurança pode afetar a si mesmas. Por isso, não importa qual formato de capacitação você escolher, ele deve ser complementado com elementos de jogos e simulações que envolvam as pessoas.

Baseado em minha experiência, posso dizer que as seguintes atividades geralmente impressionam muito as pessoas:

  • Demonstração de como uma senha pode ser quebrada em apenas alguns minutos
  • Obtenção de dados sobre as pessoas, presentes no auditório no modo de vida real. A existência dos métodos OSINT é uma verdadeira revelação para muitos participantes dos cursos
  • Fazer uma chamada telefônica a partir de um número de telefone falso (demonstração de falsificação do identificador de chamadas)
  • Copiar rapidamente a voz ou o rosto de um humano (demonstração deepfake).

Como tornar o processo de formação mais eficiente

Mesmo que o curso de treinamento seja bem desenvolvido e todos os aspectos cruciais da alfabetização digital estejam cobertos, algumas deficiências não são evitadas e o processo de formação pode ir por água abaixo. A seguir você pode encontrar a lista dos erros mais perigosos.

1. O princípio básico do processo de treinamento não é a compreensão dos princípios dos ataques, mas o aprendizado da rotina.

Um erro comum é que os funcionários não são treinados para entender os princípios de realização de um ataque cibernético. Ao invés disso, eles são treinados para detectar alguns atributos específicos de um ataque cibernético. Por exemplo - se houver um cadeado verde na barra de endereços, com certeza está tudo bem. Outra erro é achar que se o endereço do remetente está correto, tudo está bem. De acordo com o Relatório de Crimes pela Internet 2021 do FBI, os ataques BEC/AEC resultaram em perdas de US$ 2.395.953.296. Assim, os ataques BEC revelam-se uma das técnicas mais eficientes para conduzir um ataque. É importante notar, que os ataques BEC são baseados na confiança dos usuários. É por isso que é tão importante garantir que os funcionários realmente entendam como o ataque é realizado.

Os fraudadores sofisticam seus ataques mais rápido que os auditores de segurança da informação conseguem atualizar seus cursos de formação. É por isso que é tão importante entender os mecanismos e motivos que estão por detrás dos ataques. Assim os participantes prestarão atenção em alguns aspectos específicos da fraude, que podem não ser tão óbvios à primeira vista. Os participantes precisam entender que é tecnicamente possível não apenas fazer com que o endereço do remetente pareça verdadeiro, mas também que é possível substituí-lo completamente.

É por isso que é importante, por exemplo, no caso dos sites de phishing, treinar pessoas para reconhecer fraudes com base em um conjunto de atributos:

  • ortografia incorreta do endereço do site
  • conteúdo suspeito
  • imitação da funcionalidade
  • pagamentos que podem ser realizados apenas em modo on-line
  • falta de endereço físico.

2. As sessões de treinamento acontecem com muita frequência ou muito raramente

O cenário ideal é organizar treinamentos de segurança da informação em larga escala pelo menos uma vez por ano.

Treinamentos comuns (por exemplo, imitações de ataques de phishing ou palestras sobre o tema de técnicas de engenharia social, considerando os mais novos métodos e temas) devem ser realizados com mais frequência - aproximadamente uma vez por trimestre.

Entretanto, é importante entender que cursos realizados com maior frequência apresentam um efeito negativo. Deixe-me explicar com o exemplo das senhas. Se você pedir aos usuários que mudem e se lembrem das senhas com muita frequência, provavelmente eles inventarão um novo método para facilitar esta tarefa. Por exemplo, os padrões descritos acima podem ser utilizados.

A situação é bastante semelhante em outros casos. Por exemplo, os funcionários entendem que o auditor de segurança da informação irá simular novamente aquele mesmo ataque de phishing. Se os cursos acontecem com muita frequência é muito difícil preparar um conteúdo de aula original para cada curso de treinamento, então a pessoas tenderão a responder mecanicamente às ameaças e a vigilância se reduz.

3. Ninguém está interessado nos resultados dos treinamentos

O que se deve fazer com esses funcionários, que não querem seguir as regras? Esta pergunta não é da competência do oficial de segurança da informação, mas eu pessoalmente recomendo o seguinte - antes de planejar o processo de treinamento, estabelecer de comum acordo com a direção da organização os métodos de motivação a “estudantes diligentes”, bem como a responsabilização de acordo com as normas e leis vigentes daqueles que sabotam o processo de aprendizagem e não implementam na prática os conhecimentos adquiridos. Lembrando que as leis do tipo LGDP e GDPR preveem multas altíssimas em caso de vazamento de dados por parte das empresas e ou seus funcionários.

4. Os auditores de segurança da informação não adotam sua estratégia para o público específico

Os auditores de segurança da informação não são professores profissionais. Entretanto, não é realmente necessário ser um profissional da educação para treinar pessoas em questões relacionadas à segurança da informação. O processo educacional dos adultos difere significativamente daquele das crianças. Abaixo deixo uma lista dos princípios mais importantes dos treinamentos:

  • Os funcionários devem participar do planejamento de sua capacitação e avaliar sua eficiência
  • O treinamento deve ser baseado na experiência prática da vida real
  • Os adultos querem aprender questões, que os ajudam a lidar com suas obrigações profissionais ou objetivos pessoais
  • O processo educacional para adultos deve ser focado na solução de problemas, não na aquisição de conhecimentos teóricos em si.

É mais fácil considerar todos estes aspectos se o instrutor tiver um profundo conhecimento do público. Tais aspectos, como experiência e crenças, estão entre os mais cruciais. A compreensão destes aspectos permite ao auditor-professor mencionar casos ilustrativos ou lifehacks, facilmente compreendidos pelos participantes do curso.

Não faz muito sentido organizar testes baseados em papel para descobrir que tipos de funcionários estão presentes em uma organização e o que esperar deles. Nossa solução, ProfileCenter, faz isso automaticamente.

Se for impossível revelar, quais pessoas são os membros do grupo, então algumas ferramentas universais ajudarão.

  • Retórica ou, em outras palavras, a capacidade de oratória. Este é um conjunto de várias habilidades aplicadas necessárias para transmitir a ideia ao público no nível das emoções e da lógica
  • Outra habilidade útil - implementação de métodos de atração. Em outras palavras, como criar sua imagem de maneira que os demais entendam claramente - se o auditor de segurança da informação relaciona algum assunto como realmente importante, então, isto é certo.

Conclusão

O treinamento de todos os funcionários, no entanto, não é panaceia. A capacitação em questões relacionadas à segurança da informação não garante que um funcionário não abra um vínculo malicioso acidentalmente. A compreensão da responsabilidade não é uma garantia de 100% contra vazamento deliberado. No entanto, o cumprimento das regras de cuidados digitais permite reduzir a quantidade de incidentes. Se você começar do zero, é uma boa ideia buscar experiencias de cursos prontos aplicados anteriormente. Entretanto, é importante desenvolvê-los, realizar programas com casos práticos e lifehacks que o público possa compreender facilmente. Mas o mais importante é construir confiança com o público. Caso contrário, há poucas chances de que os treinamentos sejam bem sucedidos.


Ameaça interna Fator humano Gerenciamento de riscos

Inscreva-se aqui para receber notícias, artigos e white papers.
© 2024 SearchInform LTD
All rights reserved.
Usamos cookies em nosso site para tornar nosso serviço mais eficiente e melhorar a sua experiência de usuário. Ao continuar a usar o nosso site, você concorda com a nossa política de cookies.
OK
POLÍTICAS DE USO DE COOKIES