Construindo um escudo humano para a segurança cibernética
O roubo de dados é uma prática que tem crescido na era digital, mas poucos sabem que essa ameaça já existia desde os anos 80. Dessa época, há relatos de que, em 1984, informações de crédito foram roubadas de 90 milhões de registros. Em 1986, outro ataque comprometeu cerca de 16 milhões de registros. Embora os vestígios mais antigos da maioria dos ataques remontem a 2005, a ameaça da apropriação indevida de informações continua crescendo.
Hoje, mais da metade dos norte-americanos temem ter seus dados vazados, mas a maioria não sabe como reagir caso isso aconteça — e, na minha visão, grande parte das pessoas nunca sequer conferiu se suas informações já foram violadas em algum momento. Um vazamento de dados pode ser definido como qualquer incidente no qual informações sensíveis são acessadas sem permissão, o que pode ser facilmente causado por um ciberataque a uma organização, por exemplo.
Desse modo, podemos concluir que a segurança cibernética é uma das maiores preocupações para empresas em todo o mundo. No entanto, encontrar profissionais qualificados para preencher as posições de cibersegurança tem sido um grande desafio. De acordo com a ISSA (Information Systems Security Association), 61% das empresas acreditam que seus candidatos à área de segurança cibernética não são qualificados. Além disso, 70% dos profissionais de segurança cibernética afirmam que sua organização é afetada pela escassez de habilidades em segurança cibernética, segundo relatórios da ESG (Enterprise Strategy Group) e da ISSA.
A insatisfação no trabalho também é uma questão crítica na área de segurança cibernética: 61% dos profissionais estão insatisfeitos com seu trabalho atual, de acordo com a ISSA. No entanto, a demanda por profissionais de segurança cibernética continua crescendo freneticamente. De 2013 a 2021, houve um aumento de 350% nas vagas abertas de cibersegurança, de acordo com a Cybercrime Magazine. Além disso, 40% dos líderes de TI dizem que os empregos de segurança cibernética são os mais difíceis de preencher, de acordo com o CSO Online, que ainda estimou que a taxa de desemprego na área de cibersegurança seria próxima de 0% até 2022 — previsão que, de certo modo, se tornou realidade.
A importância da segurança cibernética também está levando a um aumento nas posições de liderança. Em 2021, era esperado que 100% das grandes empresas em todo o mundo tivesse uma posição de CISO (Chief Information Security Officer), de acordo com a Cybersecurity Ventures. A escassez de profissionais qualificados, no entanto, mostra-se um desafio perdurante. Estima-se que, em 2023, haverá 4 milhões de empregos de segurança cibernética não preenchidos em todo o mundo, de acordo com a Netsparker. O Bureau of Labor Statistics também prevê um aumento de 31% nos cargos de analistas de segurança da informação nos EUA de 2019 a 2029. Por isso, é importante para as empresas investirem na formação e retenção de talentos de segurança cibernética para garantir a proteção adequada contra ameaças de segurança.
A segurança da informação e a segurança cibernética são dois campos que se sobrepõem, mas que também possuem diferenças significativas. A segurança da informação se concentra na proteção de dados confidenciais, incluindo informações pessoais, de negócios e financeiras, contra ameaças internas e externas, por meio de medidas físicas, técnicas e administrativas. Por outro lado, a segurança cibernética se concentra especificamente na proteção contra ameaças digitais, incluindo malware, phishing, ataques de negação de serviço, ransomware e outros tipos de ataques cibernéticos.
Mais do que nunca, investir em conhecimento para as pessoas é o melhor investimento em segurança da informação a ser realizado pelas organizações, para que, juntas, elas se transformem em um escudo humano contra as ameaças do mundo cibernético, tanto no ambiente pessoal quanto profissional.
Desafios para engajar
Diante desse cenário, urge a necessidade de que as empresas empreguem estratégias diferentes para transmitir conhecimentos de cibersegurança. O método de gamificação é uma forma poderosa de implementar programas robustos e demonstrar uma alta maturidade nos programas de segurança. A conscientização é um elemento essencial na luta contra as ameaças cibernéticas e deve ser parte integrante da estratégia de segurança de qualquer organização. Os programas de conscientização em cibersegurança ajudam a educar os funcionários sobre as melhores práticas de proteção de dados, a importância da segurança cibernética e os perigos potenciais associados a comportamentos arriscados. Esse conhecimento, é claro, também é aplicado à vida pessoal de cada membro da equipe.
Como estratégia para alcançar esse fim, implementamos o processo de conscientização e treinamento relacionado à segurança da informação e à privacidade para todos os nossos colaboradores, disparando pílulas de conhecimento, na forma de cursos e quizzes, a cada 15 dias. A plataforma que utilizamos no programa de conscientização é a Hacker Rangers. Com a colaboração e empenho de todos os envolvidos, já começamos a colher frutos positivos em relação à proteção de dados da Stark e dos nossos clientes.
A decisão de implementarmos a plataforma foi embasada em diversos fatores. É consenso entre os profissionais da área de que existe uma baixa adesão dos colaboradores aos conteúdos de cibersegurança, já que esses treinamentos costumam ser monótonos e técnicos, dificultando o engajamento. Uma das métricas usadas para aferir a eficiência do programa de conscientização é o teste de phishing, por exemplo. Nos programas de conscientização sem gamificação, o número de cliques dos colaboradores em um phishing simulado é sempre alto, demonstrando a ineficiência dos métodos tradicionais.
Desta forma, firmamos uma parceria com a plataforma Hacker Rangers, que oferece conteúdos sobre cibersegurança e privacidade de maneira leve, com cursos e quizzes curtos e linguagem acessível. Além disso, a plataforma permite criar um ciclo gamificado de competição, que estimula a competitividade e mantém nossos colaboradores engajados ao longo do ano inteiro.
Após pouco mais de três meses, começamos a colher os resultados dessa metodologia de conscientização e treinamentos, pois os colaboradores entenderam que exercem um papel importante na segurança da Stark Bank e passaram a mudar seus hábitos diariamente.
Estes são alguns exemplos que podemos compartilhar:
- (o termo “Ciberatitude” do Hacker Rangers foi inteiramente aderido pelas equipes, e sempre que um colaborador identifica um risco de segurança, orienta o seu colega de trabalho para que ele não execute aquela ação;
- (ii) os colaboradores têm muita atenção ao abrir todo e qualquer e-mail, e denunciam via webmail quando detectam uma possível ameaça de phishing. Isso aumenta a robustez da nossa black list e evita que outros colaboradores sejam expostos ao mesmo risco;
- (iii) no dia a dia, muitas perguntas e dúvidas são submetidas pelos colaboradores para o time de segurança, que fornece a devida orientação;
- relatos de falhas de segurança são enviados pelos colaboradores, e isso alavanca a melhoria contínua.
Realmente esperávamos essa mudança. Uma mudança cultural que criasse um "escudo humano". Se todos estiverem engajados e tiverem acesso a um conhecimento de qualidade, estarão preparados para identificar ameaças, relatar potenciais riscos e evitar ser vítima de golpes, não apenas no ambiente corporativo, mas também em suas vidas pessoais!
Esse é outro ponto importante para nós: criar não apenas colaboradores ciberseguros, mas pessoas mais ciberseguras. Essas pessoas podem compartilhar o conhecimento adquirido com seus amigos e familiares, disseminando informação e colaborando para reduzir os crimes cibernéticos. Com esse objetivo em mente, buscamos sempre oferecer o melhor para os nossos colaboradores.
Após a primeira temporada gamificada na plataforma, já conseguimos obter a certificação White Certified da Hacker Rangers. Essa certificação reconhece empresas que conduzem programas de conscientização em cibersegurança de forma positiva e engajada, promovendo uma mudança de comportamento tanto no ambiente de trabalho quanto na vida pessoal dos colaboradores. Como resultado, os colaboradores adquirem um amplo conhecimento das políticas da Stark Bank e estão ativamente engajados na prevenção e reporte de incidentes.
Nosso compromisso agora é manter nossos colaboradores engajados e aprimorar ainda mais a excelência de nosso programa, pois já temos os processos e recursos para garantir um ciclo de longo prazo: revisões trimestrais dos conteúdos de conscientização e medidas formais para medir o progresso e o impacto do programa, alinhadas com a missão da Stark Bank. Assim, poderemos melhorar continuamente nossos processos e demonstrar com clareza o retorno do investimento.
Produção: Paulo Baldin, Head de Segurança da Informação (CISO) e Proteção de Dados e Privacidade (DPO) da Stark Bank.