Neste artigo procurarei mostrar que, ao contrário do que muitas pessoas pensam, é possível fazer uma boa campanha de conscientização sobre temas referentes a segurança da informação, ou quaisquer outros, sem precisar investir rios de dinheiro para isso.

Para que isso se torne mais fácil, é interessante separar a atividade de conscientização em alguns pontos que considero como fundamentais:

  • Definição de tema
  • Teste inicial
  • Campanha de conscientização
  • Teste de validação
  • Acompanhamento

Observação: O foco que darei às recomendações visa auxiliar pequenas e médias empresas com a tarefa de conscientização feita com o menor custo possível. Ainda assim, caso possua ou trabalhe em uma empresa de porte maior, é possível adaptar estas mesmas recomendações para que estejam condizentes com o padrão de investimentos que podem ser empregados para esse tipo de atividade.

Definição de tema

Como normalmente as campanhas de conscientização são conduzidas por profissionais de segurança, sejam eles internos ou terceirizados, é muito importante se ater a escolha do tema, e que preferencialmente cada campanha aborde apenas um tema. Para quem atua com tecnologia no cotidiano, é mais simples lidar com diversos temas de segurança de uma vez, mas para quem atua em outras áreas, as informações e conceitos podem se misturar durante o aprendizado, então o mais adequado é sempre focar em um tema de cada vez.

Certo, está decidido que será um tema por vez, mas qual?

Caso ainda não tenha alguma ideia de tema que se adeque ao seu ambiente, separei alguns que são frequentemente utilizados em campanhas de conscientização e os apresentarei seguidos de sugestões de abordagem, para que o desenvolvimento do assunto fique ainda mais completo.

  • Phishing: Formas de identificação da ameaça, perigos atrelados, evitar propagação, informações alarmantes para atrair a atenção das vítimas.
  • Senhas: Camadas de proteção, para que servem as senhas, como protegê-las, tamanho e complexidade, expiração.
  • LGPD: Importância da lei, riscos, multas, processos, adequação interna, atendimento de demandas de titulares, DPO/encarregado, resposta a solicitações da Autoridade Nacional de Proteção de Dados (ANPD).
  • Segurança lógica: A importância da proteção lógica, softwares de proteção, necessidade de update e reboot, validação da necessidade de uso de softwares.

Existem muitos outros temas, a imagem acima mostra ramificações importantes de segurança da informação que podem ser usadas em campanhas. Vale lembrar que a imagem aborda temas mais específicos de segurança da informação. Como o público alvo da conscientização costuma ser todos os funcionários da empresa, é interessante adaptar a linguagem das informações passadas para que haja um melhor aproveitamento.

Teste inicial

É uma boa prática medir a qualidade do conhecimento em segurança antes da conscientização acontecer. Isso permitirá conhecer o grau de maturidade e é uma excelente forma de se medir o aproveitamento pós-campanha. Idealmente, o teste inicial pode ter conteúdo similar ao teste de validação, mas não idêntico.

Existem muitas formas de aplicar esse teste e acredito que a menos custosa seja os formulários web, como o Google Forms. Nele é possível desenvolver um questionário com perguntas pertinentes ao tema que será abordado. Com os resultados, a empresa poderá identificar a maturidade de conhecimento que os usuários da rede têm sobre determinado tema e focar a campanha nos tópicos que identificaram como sendo os mais deficientes.

Campanha de conscientização

Agora é a hora de passar para a campanha propriamente dita, que nada mais é do que fornecer aos funcionários informações de qualidade que sejam pertinentes ao tema definido.

É interessante que as informações sejam tão completas quanto possível e que abordem os pontos que desejam ser fortalecidos, segundo os resultados do teste inicial.

Como essas informações normalmente são mais extensas do que é recomendado colocar no conteúdo de um e-mail, normalmente as empresas fazem um treinamento para seus funcionários para atender a essa necessidade. Uma das formas mais simples de se fazer isso é o bom e velho PowerPoint. Elaborado com pontos de destaques e apresentado por quem domine o assunto, essa estratégia costuma trazer excelentes resultados.

Caso haja uma quantidade maior de recursos disponíveis para investimento, a elaboração de um treinamento virtual pode ser uma boa opção, assim todos os colaboradores, sejam eles recém chegados a empresa ou não, poderão realizá-lo no momento que for mais oportuno.

Dica: Mesmo que sejam assuntos complexos a serem abordados na conscientização, opte por falar dos principais pontos sem tornar o treinamento muito extenso. A curva de aproveitamento pode não ser a melhor quando o assunto se estende por um longo período.

Teste de validação

Essa parte é essencial para saber se o conteúdo foi assimilado adequadamente. Funciona de forma muito similar ao Teste Inicial, e pode utilizar as mesmas plataformas para ser aplicado. Lembrando que se for possível, procure utilizar perguntas diferentes para abordar o tema neste segundo teste.

Gostaria de dividir algo com vocês sobre a experiência que tive em lugares em que já trabalhei. Percebi que a maioria dos usuários foca melhor e assimila mais conteúdo quando sabem que serão avaliados posteriormente. Sendo assim, antes de iniciar a campanha de conscientização, é interessante informar aos participantes que haverá uma avaliação posterior e encorajá-los a fazer anotações sobre pontos que considerarem importantes da explicação.

Acompanhamento

Após todos os processos anteriores, é interessante manter as informações vivas na memória dos usuários, ou ela eventualmente se perderá com o tempo. Existem diversas formas de se fazer isso e mesmo as mais simples costumam trazer bons resultados. Algumas delas são:

  • Quadro de avisos: Eu não conheci até hoje uma empresa que não tivesse um quadro de avisos, mesmo empresas bem pequenas com poucos funcionários dispõe de uma área para avisos gerais. É possível usar essa área para colocar dicas curtas de segurança relacionadas ao tema abordado na conscientização.
  • E-mails periódicos: Avisar aos usuários que, em determinado dia da semana ou do mês, eles receberão um e-mail contendo dicas de segurança os farão esperar por esse tipo de informação. Nestes e-mails também é possível veicular informações que reforcem os conteúdos aprendidos durante a conscientização e, por serem e-mails, aceitam um conteúdo um pouco mais rico em detalhes que o quadro de avisos.
  • Avisos no elevador: Seja em espaços similares aos quadros de aviso ou em televisores que veiculam conteúdo, é possível utilizar este espaço para reforçar as dicas de segurança. Dependendo de qual sistema for utilizado para transmitir conteúdos nos televisores, é menos custoso/trabalhoso usar a área similar ao quadro de avisos, com conteúdo similar.
  • Reuniões: Nem sempre é necessário utilizar uma reunião completa para fazer um acompanhamento do tema de conscientização, muitas vezes separar alguns minutos para trazer dicas e reforçar conceitos já traz excelentes resultados. Um tom de bate papo costuma se adequar bem a esta última opção, sem a necessidade de apresentar slides ou mídias similares, no entanto se a necessidade de um reforço mais for identificada, estes recursos também podem ser de grande valia.

O importante é que estímulos periódicos sejam dados para que a informação não caia no esquecimento.

Espero que esta publicação tenha ajudado, caso esteja em busca de ideias e formas de executar campanhas de conscientização.

Caso tenha ficado com alguma dúvida ou tenha sugestões de temas relacionados à segurança da informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários.