A importância estratégica da comunicação para a segurança de informação

Comunicar a necessidade de os colaboradores estarem atentos a segurança das informações sempre foi uma tarefa complexa que envolve diferentes áreas de uma empresa. O surgimento da world wide web em 1989 apenas agravou o problema, permitindo que máquinas se conectassem e conversassem entre si – e aqui ainda estamos falando da era pré-inteligência artificial. Um efeito em rede que potencializou os ataques virtuais. Os exemplos são inúmeros. Um clássico, o vírus  ILOVEYOU, em 2000, chegava via email disfarçado de carta de amor enviada por um conhecido e simplesmente apagava os arquivos do computador. Não sem antes pegar sua lista de contatos de e-mails e disparar cartas de amor para eles.  Infectou cerca de 50 milhões de computadores em poucos dias e levou o Pentágono e a CIA a desligarem seus dispositivos para evitar sua propagação.

Vinte e dois anos se passaram, bilhões de dólares foram investidos para comunicar, explicar e treinar colaboradores a não clicar em links suspeitos, a não dar informações como senha do banco a estranhos que ligam no celular e tantas outras recomendações de segurança que são diariamente transmitidas pelas equipes de comunicação. Mas as ameaças a serem combatidas não param de crescer.

O relatório anual de segurança “Data Breach Investigations Report (DBIR) 2022”, publicado desde 2008, mostra que o elemento humano esteve presente em 82% das violações de dados que levaram a divulgação confirmada de dados a uma parte não autorizada em 2021. Os meios foram os velhos clássicos roubo de credenciais, phising, uso indevido ou simplesmente erro humano.

A digitalização exponencial causada pela pandemia de covid-19 adicionou mais um fator complicador nesse processo de comunicar aos colaboradores como se proteger. Nem os sistemas de segurança nem as pessoas estavam preparados para a velocidade da transformação e do que foi exigido deles da noite para o dia para se proteger de ataques virtuais. Pesquisa global da empresa de segurança cibernética Kapersky mostrou que quase metade das 6 mil pessoas entrevistadas nunca havia trabalhado em casa antes. Mesmo assim, em 73% dos casos, os colaboradores não receberam nenhum treinamento especial sobre como interagir de forma segura com recursos corporativos pela internet.  Mas mesmo que essa e outras medidas de segurança tivessem sido tomadas e devidamente comunicadas o problema parece ser ainda maior na visão do criptógrafo americano Bruce Schneier. Chamado pela revista inglesa The Economist de “guru da segurança”, ele esteve no Brasil para o seminário “O próximo nível da cibersegurança”. Ele acredita que nosso cérebro não esteja exatamente preparado para lidar com essa questão do ponto de vista cognitivo.

Comunicar a necessidade segurança é, no final, vender a importância dela e o que está em jogo é nosso medo de perder algo (nesse caso, dados). Parece um raciocínio simples, mas nosso cérebro fica todo confuso. Imagine que você dê a uma pessoa uma escolha entre o ganho certo de R$ 500 e a chance de ganhar R$ 1.000 no cara ou coroa.  Cerca de 75% escolherão os R$ 500. Mas dê a uma pessoa a escolha entre uma perda certa de R$ 500 e a chance de perder R$ 1.000 no cara ou coroa, cerca de 75% vão escolher o cara ou coroa. Ou seja, quando temos medo preferimos o risco. Na segurança da informação vale a mesma lógica segundo Schneier. Boa parte das pessoas (75%) prefere correr o risco de perder os dados a tomar as medidas de proteção e garantir que não haja uma potencial grande perda no futuro. O segredo da ação está no aparentemente ilógica de tomar o risco está na incerteza que temos de se realmente o risco irá se concretizar. Ele pode acontecer ou não então melhor ficar com ele.  Para Scheneier, uma opção para resolver a questão é apertar o botão do medo com tudo, aumentando a percepção de risco a ponto de fazer as pessoas aderirem as melhores práticas de segurança. Mas nada disso resolverá o problema se uma atitude básica não for tomada – e ela não tem nada a ver com comunicação.

Sistemas têm de ser projetados com a segurança de informação como primeira preocupação. Ouvir isso de uma figura como Schneier é, muito interessante pois leva a uma conclusão simples: comunicar a necessidade de segurança da informação é necessário, mas não suficiente. É preciso também ter protocolos de criação de hardware e software que apontem majoritariamente nessa direção. Somente com a combinação de estratégias de comunicação e programação teremos ambientes online mais seguros.

BOX

“Segurança da informação é um problema de todos”, afirma especialista em cibersegurança.

Recentemente a co-líder da área de comunicação de segurança cibernética e privacidade de dados da FTI Consulting Meredith Griffanti falou sobre gerenciamento de crises, privacidade de dados e cybersegurança com Maurício Pontes, CEO da c5i Crisis Consulting e professor da Escola Aberje de Comunicação.

Na conversa ela ressaltou que em casos envolvendo segurança da informação muitas vezes os colaboradores são deixados em segundo plano pois a atenção da empresa é tomada pelas autoridades, pelas notícias e pelos clientes batendo à porta fazendo perguntas. Mas os colaboradores são stakeholders fundamentais. Eles estão na linha de frente. Respondem aos telefones, aos e-mails e voltam para casa para jantar com a família enquanto a empresa está na primeira página dos jornais. Por isso, em tempos de crise é preciso fazer de tudo para que os colaboradores sejam tratados como os melhores embaixadores da sua marca. Eles precisam ser equipados com as mensagens corretas, os tópicos de discussão e as perguntas e respostas mais adequadas. Não apenas para defender a companhia, mas para se engajar nas conversas e não ter de dizer: “não podemos falar a respeito, não sabemos, ninguém nos disse nada”. Se acontecer um incidente de cybersegurança, todos terão seu papel na comunicação. E, embora, muitas vezes, segurança de informação seja vista como uma função da equipe de TI, ela não é. O problema é de todos. É preciso, inclusive, encontrar meios para que todos se engajem  e coloquem a cybersegurança como prioridade.

A entrevista completa está aqui  https://youtu.be/-l-0xm2Z0Eo

COMENTÁRIOS: