Neste primeiro artigo da série sobre a educação em segurança informática que publicaremos como parte da celebração do Antimalware Day 2019, propomos várias ideias para levar a educação em cibersegurança ao interior de uma empresa que podem implementar-se de forma isolada ou de forma complementar.
Tendo em consideração que o erro humano é o principal responsável pela maioria dos incidentes de segurança que ocorrem no âmbito de uma empresa ou organização, pode ser muito benéfico que as pessoas que fazem parte das equipas de trabalho contem com instâncias que lhes permitam desenvolver as habilidades necessárias para saber lidar com estas ameaças.
#1 Estabelecer um e-mail de consulta
Criar uma conta de e-mail para o envio de consultas relacionadas com temas ou casos de segurança é uma boa iniciativa. Através deste e-mail de consulta podem reenviar-se e-mails aparentemente suspeitos para sua revisão, estabelecendo uma instância mais que positiva para que os empregados aprendam a reconhecer e-mails fraudulentos. Para além disso, no caso dos e-mails de phishing, por exemplo, este material pode ser utilizado para realizar formação com base em casos reais.
Por outro lado, contar com um e-mail de consulta pode ser de grande utilidade para incentivar a que os trabalhadores que não tenham iniciativa para fazer questões frontalmente tenham um meio mais “privado” onde podem tirar as suas dúvidas.
#2 Relatório de avisos prévios
No caso de campanhas de spam maliciosas que chegam através de e-mail, estabelecer uma dinâmica de alertas prévios permite informar o resto da empresa que está em circulação uma campanha maliciosa e analisar as suas caraterísticas. Para além de reduzir o risco de alguém desprevenido seja enganado, por mais que a campanha em particular não tenha nenhum elemento novo, serve para reforçar conceitos e recordar quais são as técnicas comuns utilizadas por hackers.
#3. Conferências e/ou sessões de formação
As conferências como instrumento de formação podem resultar numa excelente ferramenta. As mesmas podem ser dadas por especialistas da própria empresa ou por profissionais convidados. Podem ser consultas frequentes ou a elaboração de um calendário de temas como parte de um programa de formação, a empresa pode preparas conferências educativas sobre diversos temas que fazem a segurança.
Dado que em uma empresa convivem profissionais de distintas áreas, em alguns casos é recomendável segmentar o público e realizar duas conferências distintas, mais dirigidas e que contemplem os interesses e capacidades de cada grupo. Umas mais técnicas para aqueles que tenham conhecimentos suficientes e outras menos técnicas que contemplem as limitações dos destinatários.
É também recomendável fazer uso de imagens, vídeos e todo o tipo de material visual que torne mais atrativa e memorável a formação, já que desta forma será mais efetiva a comunicação do que se pretende ensinar.
#4 Dinâmicas ou concursos
Uma forma divertida de introduzir a formação em segurança no âmbito empresarial é através de dinâmicas ou concursos abertos à participação dos funcionários. Por exemplo, a partir do que foi explicado numa conferência ou formação pode elaborar um concurso de perguntas e respostas que premeie os vencedores. Para além de ser algo divertido, é uma forma de saber, através dos resultados, o grau de conhecimento sobre os temas que para a empresa são importantes.
Outra alternativa é contratar um serviço de testes de engenharia social, os quais permitem avaliar o grau de conhecimento que têm os profissionais que trabalham numa empresa e fornecem informações valiosas que podem ser utilizadas para determinar aspetos que devem ser tratados com mais profundidade em uma formação.
#5 Guia de boas práticas em segurança
Elaborar um guia de boas práticas que sirva de referência aos procedimentos recomendáveis para a manutenção de um ambiente seguro e desta forma minimizar os riscos. Este guia servirá de orientação para compreender as problemáticas mais comuns e estabelecerá práticas saudáveis para o uso e gestão da informação nas empresas. As mesmas podem incluir, por exemplo, informação sobre como configurar dispositivos de forma segura, como encriptar a informação, como configurar o duplo fator de autenticação nos principais serviços, etc.
É também portante que estes guias sejam fáceis de ler e tenham apenas a informação necessária. As mesmas podem estar na secretária de cada funcionário para fácil consulta.
Por último, uma recomendação para ajudar a reter ideias e/ou conceitos é jogar com os lugares inesperados para deixar mensagens, como na casa de banho, na cozinha, ou no elevador. Encontrar uma mensagem num lugar onde não se espera tem um impacto maior do que quando se encontra num lugar comum.
