Skip to main content

Conhecer a conscientização sobre segurança

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Definir a conscientização sobre segurança.
  • Descrever a importância de se ter um programa de conscientização sobre segurança.

O que é conscientização sobre segurança?

Independentemente de onde você trabalha, a confiança, a segurança e a paz de espírito de funcionários e clientes provavelmente são valores importantes. Um elemento essencial para a manutenção da confiança na sua organização é todos os membros participarem ativamente de um programa de cibersegurança como parte das suas rotinas diárias. Isso significa entender os procedimentos de cibersegurança e saber quando e como buscar ajuda. 

As organizações implementam programas de conscientização sobre segurança para fomentar uma cultura de cibersegurança dentro delas. O objetivo é treinar usuários sobre possíveis ameaças e aumentar a conscientização sobre situações que podem colocar dados, sistemas ou redes em risco. As organizações usam programas de conscientização sobre segurança para incutir um senso de responsabilidade e propósito nos funcionários que administram e lidam com informações confidenciais. Os funcionários precisam ter noção de que são um dos elos mais fortes na proteção das organizações na forma como se comportam diariamente e nas decisões que tomam.

Um dos objetivos de um programa de conscientização sobre segurança é reduzir o risco da organização. Quanto maior for a conscientização dos funcionários sobre possíveis ameaças e como mitigá-las, menor será a probabilidade de a organização ficar vulnerável a ataques. Os especialistas em conscientização sobre segurança buscam capacitar os usuários para que assumam o dever pessoal de proteger a organização. Eles também aplicam as políticas e os procedimentos que a organização estipula para proteger seus dados por meio de treinamentos e medições de conformidade.

A importância da conscientização sobre segurança

Quando os funcionários estão conscientes e se importam com a segurança, eles trabalham para promover práticas sérias de cibersegurança entre si. Esse elemento humano da cibersegurança é particularmente relevante para proteger os dados, já que os invasores costumam visar usuários na cadeia de segurança das organizações. Nenhum controle técnico no mundo, sistemas de detecção de invasões, firewalls, prevenção contra perda de dados e outros, será suficiente para proteger os dados se os usuários não entenderem as políticas e os procedimentos, não souberem usar as ferramentas nem o que fazer em caso de vazamentos. 

Veja alguns métodos de ataque comuns usados para explorar o elemento humano da cadeia de segurança.

  • Malware é um software malicioso que tenta danificar dispositivos, roubar dados ou comprometer de alguma forma os sistemas de computação enganando os usuários para que baixem vírus, cavalos de Troia e spyware em seus computadores.
  • Phishing é um tipo de ataque no qual um agente hostil envia emails se fazendo passar por pessoas físicas ou jurídicas de boa reputação para induzir os usuários a revelarem informações pessoais, por exemplo, nomes de usuário ou senhas.
  • Engenharia social é uma tática que os invasores usam para manipular as pessoas a agir de uma forma específica. Engenharia social pode ser usada para aumentar o efeito de um malware ou phishing. Por exemplo, um invasor pode usar mídias sociais para identificar o nome de um funcionário de uma empresa que trabalha em uma função de segurança. O invasor pode usar mais engenharia social para encontrar o colégio da filha do funcionário e enviar um email com um PDF anexo que imita o endereço de email do colégio. O PDF pode incluir informações sobre o fechamento do colégio por uma emergência, criando uma sensação de urgência na vítima. O invasor pode inserir malware no PDF que instala e executa um arquivo mal-intencionado quando o funcionário o abre. O uso de informações pessoais sobre o funcionário por meio de engenharia social aumenta as chances de sucesso do ataque.
  • Ameaça interna ocorre quando um funcionário da empresa age de forma a acessar, modificar ou excluir dados inapropriadamente. Isso pode ocorrer por ganhos financeiros, espionagem ou porque o funcionário está insatisfeito por não ter sido promovido ou por ter ouvido falar de uma onda de despedimentos, por exemplo. São necessárias ferramentas especiais para rastrear e monitorar possíveis ameaças internas. Outros funcionários também são essenciais para a denúncia de atividades suspeitas. Também existe a ameaça interna acidental envolvendo funcionários sem conscientização que cometem erros que colocam a organização em risco. Por exemplo, o envio de um email com informações confidenciais para a pessoa errada. No panorama atual de várias distrações e muita agilidade, podemos cometer erros.
  • As perdas de dados ocorrem quando os dados são destruídos intencionalmente ou não, compartilhados com pessoas não autorizadas ou usados para fins não autorizados. Pode haver perda de dados quando um funcionário, intencionalmente ou não, modifica as informações da conta de um cliente. Outro exemplo é o de um funcionário que baixa informações em um USB externo e o perde. Ela também pode ocorrer quando um funcionário envia dados confidenciais por acidente, por exemplo, o número de INSS de um cliente, a terceiros. O devido treinamento sobre o manuseio de dados confidenciais e as políticas e os controles técnicos para prevenir a perda de dados são essenciais para aumentar a conscientização sobre essa questão.

Os especialistas em conscientização sobre segurança criam os blocos de um programa de cibersegurança: políticas, conscientização, controles e métricas.

A conscientização sobre segurança fortalece a capacidade de uma organização de se proteger contra a exploração de vulnerabilidades e erros humanos. As políticas e os procedimentos de segurança servem como blocos de construção de um programa de conscientização sobre segurança documentando como os usuários devem proteger os dados, quem é responsável por quais tarefas e o que fazer em caso de emergência. Quando esses blocos estão prontos, é uma boa ideia implementar um programa de conscientização sobre segurança e incluir treinamento sobre conscientização dos usuários. Quando a conscientização sobre segurança é priorizada, as organizações podem se concentrar em implementar medidas de segurança, por exemplo, gerenciamento de patches, agregação de logs e proteção antivírus. Com esses controles, e com os usuários sabendo usá-los, os programas de conscientização sobre segurança definem e coletam métricas-chave de desempenho. Essas métricas ajudam a entender melhor a conformidade com políticas e procedimentos e se o programa de conscientização está atingindo seus objetivos. 

Recursos

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
Inscrever-se Login
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira
Pular por enquanto