Uma das frases mais repetidas na nossa comunidade é: “o utilizador é o elo mais fraco”. Os números não mentem e são no mínimo assustadores
De acordo com a Tessian, 43% dos empregados têm a certeza que já cometeram erros que comprometeram a segurança da empresa. Sendo o elo mais fraco, não faria então sentido que grande parte dos esforços fossem direcionados para a sua formação? Quantas empresas têm uma relação de proximidade entre trabalhadores e departamento de segurança? Quantos trabalhadores se sentem à vontade para alertar de um possível incidente de segurança? Quantas empresas dão formação contínua a todos os seus trabalhadores? A formação deve ser a base da ligação com os trabalhadores. Não devemos pensar na formação apenas com uma sessão onde despejamos uma série de slides com as regras que a empresa obriga, mas sim como uma forma de explicarmos a necessidade de os termos ao nosso lado. A formação tem, logo à partida, um desafio gigante: Captar o interesse do formando. Vamos ser honestos, a Dona Teresa do departamento de recursos humanos, a última coisa que deseja fazer numa segunda-feira de manhã é levar com um “informático” a falar de políticas de segurança ou das consequências de não as cumprir. A Dona Teresa vai estar preocupada em pagar os salários no dia certo ou processar o contrato do novo trabalhador, esses são os seus problemas. O nosso papel não é trazer os formandos para o nosso lado e mostrar as nossas dores, mas sim, arranjar forma de lhes dar uma mais valia, ao mesmo tempo que cumprem as políticas. A título de exemplo, a nossa política interna obriga ao uso de passwords complexas. No momento da formação devemos garantir que todos saem com um gestor de passwords instalado e pronto a ser usado, de preferência com vários casos práticos já implementados. A formação não deve ser sobre a política de passwords. A formação deve ser sobre o gestor de passwords que, por acaso, segue a política de passwords. A Dona Teresa consegue perceber a política em segundos, mas colocá-la em prática, compete-nos a nós indicar-lhe o caminho. Se por um lado as pessoas precisam de ser levadas à solução, por outro temos de ser capazes de lhes explicar o real problema. Devemos enquadrar os eventuais riscos e ameaças com a realidade da empresa. Temos de mostrar quais os eventuais custos se o site de vendas da empresa estiver indisponível uma hora ou a impossibilidade de pagar os salários no dia certo porque os sistemas foram alvos de ransomware. Só mostrando a real dimensão do problema é que as pessoas podem perceber a necessidade de o proteger. Outro grande problema da formação é que deve ser constante e renovada periodicamente. O trabalhador deve receber um briefing no momento de entrada e saída da empresa, mas também deve ter momentos de formação anual, tanto com novos temas, como com os temas importantes anteriormente ensinados. Eu sou adepto que a formação deve ser presencial, no entanto para casos onde a dimensão da empresa não o permita, devemos usar ferramentas digitais que nos permitam chegar a um maior número de pessoas. Se não existem na “casa”, existe muita oferta na internet. As formações devem ser pensadas e dadas conforme as necessidades e prioridades definidas. Casos onde haja, por exemplo, acessos privilegiados a informação ou ferramentas críticas, pode e deve ser dada formação apenas a um departamento específico ou mesmo a uma pessoa isolada. Essa informação seria inútil a todos os restantes elementos da empresa, no entanto conseguimos reduzir o risco dando uma formação específica onde faz sentido. Temos de ter consciência que o simples facto de darmos formação, não significa que todos a tenham assimilado. O primeiro fator deve-se ao interesse, mencionado anteriormente, mas também devido à necessidade de estimular diferentes tipos de memória. O ser humano tem memória a curto prazo, a memória que é usada para tarefas imediatas e que são rapidamente esquecidas, e memória de longo prazo, usada para informações que ficam gravadas na memória por longos períodos de tempo ou até para a vida. O nosso objetivo deve ser estimular a memória de longo prazo, de forma a que as pessoas se lembrem com facilidade da mensagem que lhes desejamos passar. Existem vários exercícios e formas de estimular a memória a longo prazo, mas o mais fácil é fazer com que as pessoas resumam, elas próprias, a matéria no próprio dia, e alguns dias mais tarde façam novamente outro resumo. Eu disse que era a forma mais fácil de estimular a memória a longo prazo, não disse que era fácil de concretizar. Boa sorte! Relativamente a exemplos práticos, a minha experiência diz que partilhar demonstrações de ataques tem uma enorme taxa de sucesso nos formandos. Geralmente as reações vão do espanto pela facilidade com que é possível fazer a maioria dos ataques, ao medo de que isso possa acontecer com eles. Parecemos um mágico no circo, ninguém percebe como se faz o truque, mas todos ficam boquiabertos. Nestas demonstrações devemos evitar passar informação detalhada de como se faz o ataque, para que não possam ser repetidos em ambientes não controlados, mas devemos fazê-los nós mesmo e ao vivo. O último ponto a focar, e talvez o mais difícil, é a necessidade de convencer a Administração a participar na formação. Como em todas as áreas da empresa, sem o apoio do topo tudo se torna mais difícil. O ideal seria estarem presentes e dividirem-se ao longo dos vários momentos da formação, de forma a reforçar a iniciativa, ou, em alternativa, estarem todos presentes na formação inicial. Na eventualidade de não poderem estar presentes, devemos de os convencer da necessidade de reforçar o apoio através de comunicações internas. Acima de tudo, a ideia deve ser que as políticas se aplicam a todos sem exceção. Em jeito de conclusão, a formação deve ser um momento de ligação entre o departamento de segurança e todos os trabalhadores da empresa, onde são passados conhecimentos e ferramentas para os ajudar a cumprir o que lhes pedimos. Temos de ter a perfeita noção que o nosso departamento é apenas um meio para atingir um fim. O mais importante são os formandos, as políticas e, acima de tudo, a segurança da empresa. |
André Garrido
Senior Cybersecurity Engineer
EUSPA
Trabalhou como Administrador de Sistemas e Redes durante cerca de 15 anos, mas sempre com um olhar para a segurança. Mais recentemente foi um dos elementos do CERT.PT no Centro Nacional de Cibersegurança e atualmente faz Cyber Threat Intel na EUSPA.
Outros artigos deste autor