*Por Fabio Ferreira
Se a minha empresa tiver backup constante, ela está protegida em um caso de ransomware? Existe algum firewall que bloqueia 100% das ameaças online? Dupla autenticação dá conta de evitar acessos indevidos?
Essas e outras perguntas são constantemente feitas por pessoas de fora da TI. Elas mostram a expectativa pela existência de uma “bala de prata”, uma solução capaz de dar conta de todo mal que possa ser enfrentado na área de segurança de informação. Tais questões tornam-se ainda mais frequentes quando a TI advoga por mais investimentos, ou quando crimes digitais de grande repercussão ganham o noticiário.
Cabe dizer logo de cara que essa é uma mentalidade ingênua. Nenhuma ferramenta tecnológica é sinônimo de segurança da informação. E, se não há uma solução capaz de enfrentar uma ameaça com total garantia de sucesso, fica impossível a existência de uma “cura universal” para todos os maus comportamentos ou crimes que podem acontecer no âmbito tecnológico.
Backup é uma solução para responder a incidentes que acarretam em perda de dados. É importante, mas a segurança da informação vai muito além disso. Ela diz respeito a garantir que os seus dados não estejam totalmente na mão de terceiros. De forma semelhante, o firewall é uma ferramenta que bloqueia sites maliciosos, mas nem mesmo o mais avançado deles substitui uma cultura corporativa que conscientiza e prepara os colaboradores para agirem de forma segura.
Eu poderia seguir dando exemplos, mas a ideia essencial é que segurança da informação envolve ferramentas, políticas e regulação, cultura e comportamento. Em outras palavras, o uso dos dados evoluiu, e tudo que está em torno deles precisa evoluir também, principalmente a forma de protegê-los.
A mentalidade que leva ao excesso de confiança (e de expectativa) em uma ferramenta é manifestada em maior grau fora da TI, mas alguns gestores da área ainda tratam o backup de dados como o cerne de sua segurança. Para esses, é apenas questão de tempo até que a crueza da realidade mostre que estão errados.
Felizmente, esses gestores não representam a maioria. Mas, ainda sim, ainda há muito a evoluir na criação de um ambiente onde os aspectos ferramental e comportamental igualmente amadurecem e são usados com a mesma solidez.
Se buscamos criar cultura, é preciso antes conscientizar. E isso não acontece apenas por campanhas. Minha experiência me faz desacreditar em treinamentos massivos, nos quais todos os colaboradores passam por um workshop de alguns dias, e o assunto só voltará a ser abordado depois de muitos meses. Iniciativas desse tipo costumam ser desperdício de tempo e de recursos.
O aculturamento deve acontecer em pílulas. É preciso explicar o tamanho do dano causado por atitudes inseguras. Isso porque os riscos podem ter uma escala muito clara para quem trabalha com segurança no dia a dia; no entanto, o usuário padrão não tem um conhecimento profundo sobre isso, daí a importância de mostrar isso a ele de forma prática.
É preciso trazer relações de causa e efeito, como simulações onde o usuário e é advertido se faz algo incorreto do ponto de vista da segurança. E esse é um trabalho constante. Segurança da informação precisa ser um assunto presente prolongadamente no radar – de forma perene. Se for apenas “mais um treinamento” na agenda corporativa, vai ser encarado de forma superficial ou dispersa pela maioria dos colaboradores.
Além disso, essa cultura precisa se estender para clientes, parceiros e fornecedores. Todos os que interagem com a empresa têm que estar integrados ao mesmo ambiente cultural, por mais que cada público tenha práticas diferentes uns dos outros.
O Brasil é o país com maior incidência de golpes bem-sucedidos de phishing no mundo, segundo um levantamento da Kaspersky de 2023. Esse triste primeiro lugar dá uma dimensão do quão distante de uma cultura segura estamos. Também estamos entre os 10 países que mais são alvos de crimes eletrônicos em geral, de acordo com um levantamento da NSFocus, o que só reforça o argumento.
Estamos falando de milhões de pessoas que se colocam em situação de vulnerabilidade no ambiente online por falta de conhecimento. E não é um recorte exclusivo de determinado grupo social: as vítimas desses golpes pertencem a todas as classes sociais e níveis de instrução. Tanto o analista iniciante quanto o diretor veterano podem incorrer em comportamentos arriscados. Exatamente por isso, o trabalho de conscientização em uma empresa não pode ser apenas top down ou bottom up, mas precisa acontecer em todas as instâncias.
É verdade que uma política de conscientização tem grande chance de encontrar resistência por parte de um grupo maior ou menor de usuários. Mas a tendência é que essa resistência arrefeça conforme a qualidade da informação avança. Entendendo a gravidade do problema, as pessoas tornam-se menos resistentes, na maioria dos casos.
Portanto, se a sua empresa quer fazer um investimento assertivo em segurança da informação em 2025, o ponto de partida tem que ser a educação. Assim como em outras áreas da vida, ela é imprescindível. Não é um esforço pequeno tampouco de curto prazo, mas seus resultados tendem justamente a ser grandes e de cauda longa.