Sunday, August 23, 2009

Conscientização de usuários: Uma batalha perdida?

Empresas que tenham implantado um sistema de gerenciamento de segurança (SGSI), segundo os preceitos da norma ISO 27001 sabem, ou pelo menos deveriam saber, que não adianta nada investir verdadeiras fortunas em equipamentos e softwares de segurança e não conscientizar seus colaboradores quanto aos riscos do uso irresponsável dos recursos computacionais e boas práticas de segurança.

De que adianta um bom sistema de gestão de senhas se o diretor da empresa é o primeiro a compartilhar sua senha com a secretária? E o que dizer então daquele firewall caríssimo adquirido recentemente enquanto há usuários que instalam placas Fax Modem (prática em extinção, eu reconheço) ou redes wireless "privadas"?

Sim, é uma batalha diária onde, de um lado, temos os administradores "chatos" de segurança que tentam alertar quanto aos riscos de tais práticas e, de outro, os usuários sedentos por descobrir uma nova maneira de "evitar" os sistemas de segurança (Firewalls, IPS, Filtros de Conteúdo, etc) para poder utilizar o MSN, o Emule, o rádio via web, Webmail, e tantas outras "facilidades" da vida moderna 2.0.

Um bom programa de conscientização de usuários deveria cobrir, pelo menos, os seguintes aspectos:
  • Apresentações dinâmicas, quase teatrais (cuidado com o famigerado powerpoint!);
  • Inclusão de temas relacionados ao dia-a-dia das pessoas. Definitivamente, usuários comuns que encaram o computador muitas vezes como um "mal necessário", não se interessam por estatísticas de invasões de sites, ou sobre quais são os principais tipos de ataques. Deve-se fornecer aos usuários informações que estejam mais próximas ao seu dia-a-dia, como exemplos extraídos do Orkut, do Facebook, Twitter, etc, que contenham dados interessantes como detalhes de família, fotos, números de telefones, entre outros. Estas informações servem como alerta e costumam deixar as pessoas preocupadas. É muito interessante ver a reação das pessoas quando estas olham para a tela e visualizam dados extraídos do Orkut, etc. Novamente, o fato de se relacionar à realidade das pessoas, facilita a conscientização;
  • Sempre que possível, inclua trechos de filmes, gravações do Youtube, gravações de conversas (autorizadas e devidamente sanitizadas) onde ataques de engenharia social são exemplificados;
  • Incluir também exemplos de e-mails de phishing e, se possível, dados coletados através de trojans (os famosos screenshots contendo a mãozinha sobre o teclado virtual dos Internet Bankings e as conversas do MSN - há casos de Don Juans com mais de 3 namoradinhas simultâneas sendo "enganadas" no MSN!);
  • É interessante  também criar canais de divulgação do assunto Segurança da Informação. Pode-se criar um jornal temático que pode incluir notícias, informações sobre o que a área de SI tem realizado para aumentar a segurança da organização, dicas de segurança, entre outros assuntos. A periodicidade deste jornal pode ser mensal;
  • Não se deve esquecer também de medir a efetividade destes programas, através da realização de pesquisas internas, que incluam a possibilidade de obter feedback dos participantes. Até mesmo a realização de testes de engenharia social, onde pessoas "estranhas" à organização poderiam testar a segurança física ou a resistência dos usuários a ataques telefônicos (o que? o diretor Fulaninho da Silva está com um problema de acesso e precisa trocar a senha imediatamente? Você sabe com quem está falando?);
É claro que as dicas acima não esgotam o assunto mas são um bom começo para quem deseja implantar um programa de conscientização de usuários.

3 comments:

  1. Excelente matéria, nenhum sistema de segurança será seguro sem a concientização do usuário ! Parabéns pelo Post !

    ReplyDelete
  2. Boa noite Paulo,

    parabéns pelo post. Na sua experiência, como anda a evolução dos programas de conscientização nas empresas? A adoção está aumentando? O conteúdo anda sendo diversificado?

    Abraços,

    ReplyDelete
  3. Olá Dogão, tudo bem?

    Há algumas empresas que realizam palestras/workshops pontuais, mas infelizmente são poucas que possuem um programa efetivo e recorrente.

    abs!

    ReplyDelete