Comportamento do usuário é desafio para gerenciamento de segurança

Pesquisa aponta que erros humanos foram responsáveis por 35% das brechas na proteção de dados em 2008. Dado reflete a necessidade da criação de políticas de conscientização e monitoramento das ações de colaboradoresAs ameaças de segurança relacionadas ao mau comportamento de usuários representam uma das maiores preocupações dos gestores de TI. Prova disso, em janeiro, o Identity Theft Resource Center (ITRC), órgão internacional de segurança de identidade baseado em San Diego, nos Estados Unidos, apontou que o número de brechas globais de segurança corporativa em 2008 cresceu 47% em comparação com 2007. A organização identificou também que 35,2% das brechas eram causadas por erros humanos.Além desses dados, o Ponemom Institute, empresa norte-americana de pesquisa especializada em privacidade e proteção de dados, divulgou recentemente um estudo que mostra que o custo por dado comprometido cresceu de 197 dólares, em 2007, para 202 dólares, em 2008. E o custo total de problemas de segurança saltou de 4,7 milhões de dólares em 2006 para 6,6 milhões de dólares em 2008. E há fatores intangíveis: problemas de segurança resultam em perda de confiança do consumidor, que se traduz em troca do fornecedor. Instalar o hardware e o software mais avançado de segurança não quer dizer nada se os usuários finais não pensarem em melhores práticas. E o único jeito de chegar a uma aproximação maior do ideal de corporação segura é estabelecer uma cultura favorável na empresa, por meio de ações e revisões diárias das práticas.Para o usuário, segurança não é focoOs riscos para a segurança são alvos que se movem muito rapidamente. Além do aumento do número de ameaças e vulnerabilidades, há mais dispositivos móveis de armazenamento e cada vez mais mobilidade. Há, também, menos barreiras entre a vida pessoal e profissional das pessoas. Os elementos necessários para manter a proteção estão mudando e educar os usuários finais demanda muito mais trabalho dos responsáveis pela área.O gerente sênior de infraestrutura e operações na norte-americana Pioneer Electronics, Max Reissmueller, enfrenta o desafio diariamente. Ele é responsável por educar 1,6 mil funcionários em 15 unidades da companhia na América do Norte. A empresa possui um conselho de segurança que atualiza políticas anualmente e dissemina mudanças para usuários finais.Mas um grande problema com relação ao treinamento é que segurança não é o trabalho destas pessoas. “Os empregados estão sempre concentrados em como fazer o melhor nas suas atividades principais, então não há foco em segurança”, diz Reissmueller. Apesar disso, ainda dá para ensiná-los a identificar coisas suspeitas e pedir ajuda quando uma questão relacionada à segurança vem a tona.Outro ponto chave é elevar a consciência sobre a segurança em um contexto mais amplo de proteção dos ativos, da receita e da reputação da companhia. Os usuários finais devem ter claro que as ameaças colocam em risco a continuidade da companhia em que trabalham.E o que acontece quando os riscos são colocados fora do contexto? De acordo com pesquisa da RSA, realizada em 2008, os profissionais nessa situação não deixam de realizar atividades para respeitar as políticas de segurança. O levantamento, que ouviu 417 pessoas da região das Américas, constatou que 94% delas tinha familiaridade com as políticas, mas só 53% sentiram uma real necessidade de segui-las para prosseguir com seus trabalhos.Melhores práticasO executivo de segurança da Pioneer gosta de destacar que conformidade e conscientização são duas coisas diferentes. Conscientização não é um item pontual, pois deve estar internalizado na cabeça do colaborador. Mas como fazer isso de forma efetiva?Em 2005, o estado de Nova Iorque desenvolveu um exercício de combate às armadilhas virtuais em e-mails (phishings) em conjunto com a AT&T e organizações que lidam com o tema segurança. O exercício envolveu 10 mil funcionários, que não sabiam que participavam desse programa.No exercício, simulações de phishings foram enviadas para os funcionários e 15% cairiam se o golpe fosse verdadeiro. As pessoas que falharam receberam uma mensagem dizendo que foram vítimas de um phishing e receberam um e-mail direcionando-os para um tutorial sobre como evitá-los.O teste foi repetido com a mesma população de funcionários dois meses depois, com uma melhora de 50%. Os que falharam no segundo exercício foram convidados a participar de uma pesquisa que tentaria identificar porque eles tomaram as ações erradas.O objetivo era entender se a forma de comunicação entre o Estado e os funcionários era adequada para o entendimento da segurança. “Apenas dizer o que é o phishing não tem eficiência. É melhor desenvolver táticas para a educação”, afirma o chefe de segurança online do estado de Nova York, William Pelgrin.Outra técnica é simular cenários para reforçar o que deve ser feito em cada situação de risco. Reissmueller aplica testes abrangentes para determinar o grau de conscientização, incluindo os de penetração de riscos. Ele acredita que políticas e educação, sozinhas, não fazem todo o trabalho. “A meta é trabalhar até que as atitudes seguras sejam tomadas pelo usuário automaticamente, como parte do trabalho, algo sobre o qual eles nem pensam”.As táticas mais sofisticadas não querem dizer que a empresa tenha que deixar de colocar cartazes, rodar banners na intranet, promover dias da segurança e distribuir material de treinamento para os profissionais. É uma forma de reforçar a cultura.Site: CIOData: 03/09/2009Hora: 11h40Seção: GestãoAutor: ------Link: http://cio.uol.com.br/gestao/2009/09/03/comportamento-do-usuario-e-desafio-para-gerenciamento-de-seguranca/