Formação é mais do que uma simples sessão

Formação é mais do que uma simples sessão

Uma das frases mais repetidas na nossa comunidade é: “o utilizador é o elo mais fraco”. Os números não mentem e são no mínimo assustadores

De acordo com a Tessian, 43% dos empregados têm a certeza que já cometeram erros que comprometeram a segurança da empresa.

Sendo o elo mais fraco, não faria então sentido que grande parte dos esforços fossem direcionados para a sua formação? Quantas empresas têm uma relação de proximidade entre trabalhadores e departamento de segurança? Quantos trabalhadores se sentem à vontade para alertar de um possível incidente de segurança? Quantas empresas dão formação contínua a todos os seus trabalhadores?

A formação deve ser a base da ligação com os trabalhadores. Não devemos pensar na formação apenas com uma sessão onde despejamos uma série de slides com as regras que a empresa obriga, mas sim como uma forma de explicarmos a necessidade de os termos ao nosso lado.

A formação tem, logo à partida, um desafio gigante: Captar o interesse do formando. Vamos ser honestos, a Dona Teresa do departamento de recursos humanos, a última coisa que deseja fazer numa segunda-feira de manhã é levar com um “informático” a falar de políticas de segurança ou das consequências de não as cumprir. A Dona Teresa vai estar preocupada em pagar os salários no dia certo ou processar o contrato do novo trabalhador, esses são os seus problemas.

O nosso papel não é trazer os formandos para o nosso lado e mostrar as nossas dores, mas sim, arranjar forma de lhes dar uma mais valia, ao mesmo tempo que cumprem as políticas.

A título de exemplo, a nossa política interna obriga ao uso de passwords complexas. No momento da formação devemos garantir que todos saem com um gestor de passwords instalado e pronto a ser usado, de preferência com vários casos práticos já implementados. A formação não deve ser sobre a política de passwords. A formação deve ser sobre o gestor de passwords que, por acaso, segue a política de passwords. A Dona Teresa consegue perceber a política em segundos, mas colocá-la em prática, compete-nos a nós indicar-lhe o caminho.

Se por um lado as pessoas precisam de ser levadas à solução, por outro temos de ser capazes de lhes explicar o real problema. Devemos enquadrar os eventuais riscos e ameaças com a realidade da empresa. Temos de mostrar quais os eventuais custos se o site de vendas da empresa estiver indisponível uma hora ou a impossibilidade de pagar os salários no dia certo porque os sistemas foram alvos de ransomware. Só mostrando a real dimensão do problema é que as pessoas podem perceber a necessidade de o proteger.

Outro grande problema da formação é que deve ser constante e renovada periodicamente. O trabalhador deve receber um briefing no momento de entrada e saída da empresa, mas também deve ter momentos de formação anual, tanto com novos temas, como com os temas importantes anteriormente ensinados.

Eu sou adepto que a formação deve ser presencial, no entanto para casos onde a dimensão da empresa não o permita, devemos usar ferramentas digitais que nos permitam chegar a um maior número de pessoas. Se não existem na “casa”, existe muita oferta na internet.

As formações devem ser pensadas e dadas conforme as necessidades e prioridades definidas. Casos onde haja, por exemplo, acessos privilegiados a informação ou ferramentas críticas, pode e deve ser dada formação apenas a um departamento específico ou mesmo a uma pessoa isolada. Essa informação seria inútil a todos os restantes elementos da empresa, no entanto conseguimos reduzir o risco dando uma formação específica onde faz sentido.

Temos de ter consciência que o simples facto de darmos formação, não significa que todos a tenham assimilado. O primeiro fator deve-se ao interesse, mencionado anteriormente, mas também devido à necessidade de estimular diferentes tipos de memória. O ser humano tem memória a curto prazo, a memória que é usada para tarefas imediatas e que são rapidamente esquecidas, e memória de longo prazo, usada para informações que ficam gravadas na memória por longos períodos de tempo ou até para a vida. O nosso objetivo deve ser estimular a memória de longo prazo, de forma a que as pessoas se lembrem com facilidade da mensagem que lhes desejamos passar. Existem vários exercícios e formas de estimular a memória a longo prazo, mas o mais fácil é fazer com que as pessoas resumam, elas próprias, a matéria no próprio dia, e alguns dias mais tarde façam novamente outro resumo. Eu disse que era a forma mais fácil de estimular a memória a longo prazo, não disse que era fácil de concretizar. Boa sorte!

Relativamente a exemplos práticos, a minha experiência diz que partilhar demonstrações de ataques tem uma enorme taxa de sucesso nos formandos. Geralmente as reações vão do espanto pela facilidade com que é possível fazer a maioria dos ataques, ao medo de que isso possa acontecer com eles. Parecemos um mágico no circo, ninguém percebe como se faz o truque, mas todos ficam boquiabertos. Nestas demonstrações devemos evitar passar informação detalhada de como se faz o ataque, para que não possam ser repetidos em ambientes não controlados, mas devemos fazê-los nós mesmo e ao vivo.

O último ponto a focar, e talvez o mais difícil, é a necessidade de convencer a Administração a participar na formação. Como em todas as áreas da empresa, sem o apoio do topo tudo se torna mais difícil. O ideal seria estarem presentes e dividirem-se ao longo dos vários momentos da formação, de forma a reforçar a iniciativa, ou, em alternativa, estarem todos presentes na formação inicial. Na eventualidade de não poderem estar presentes, devemos de os convencer da necessidade de reforçar o apoio através de comunicações internas. Acima de tudo, a ideia deve ser que as políticas se aplicam a todos sem exceção.

Em jeito de conclusão, a formação deve ser um momento de ligação entre o departamento de segurança e todos os trabalhadores da empresa, onde são passados conhecimentos e ferramentas para os ajudar a cumprir o que lhes pedimos. Temos de ter a perfeita noção que o nosso departamento é apenas um meio para atingir um fim. O mais importante são os formandos, as políticas e, acima de tudo, a segurança da empresa.

André Garrido

André Garrido

Senior Cybersecurity Engineer
EUSPA

Trabalhou como Administrador de Sistemas e Redes durante cerca de 15 anos, mas sempre com um olhar para a segurança. Mais recentemente foi um dos elementos do CERT.PT no Centro Nacional de Cibersegurança e atualmente faz Cyber Threat Intel na EUSPA.

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.