Capacitar a todos e conscientizar sobre a importância da segurança geralmente só acontece após situações de desastre, muitas vezes uma reflexão tardia.
O treinamento em segurança sempre foi um desafio para as empresas, seja por falta de cultura, maturidade, recursos ou priorização inadequada dentro de um plano de segurança. Com o crescimento dos negócios, surgem outros desafios, tecnológicos e pessoais, e a segurança deve competir com muitas outras prioridades urgentes e importantes. Quando muitas empresas começam a levar isso a sério, parece que isso não está no radar da maioria dos colaboradores.
É hora de mudar isso.
Há vários estudos ao longo dos anos mostrando que o erro humano é geralmente a maior vulnerabilidade nas empresas, comprovando que todos os colaboradores devem desempenhar seu papel, e que isto só acontece por meio do aprendizado contínuo ao longo da tempo.
Devemos estar em dia com a educação, treinamento e melhores práticas aplicadas a todas as equipes, fazendo com que todos os aspectos de suas entregas minimizem o risco para o negócio, funcionários, clientes e clientes dos clientes.
Funcionários técnicos e não técnicos devem ser treinados de acordo com os padrões de segurança comprovados de mercado. Além disso, existem várias regulamentações de segurança de dados, privacidade e processamento financeiro que são relevantes para determinadas indústrias e funções dos colaboradores.
E nas empresas de tecnologia, que também precisam garantir que seus desenvolvedores e engenheiros estejam atualizados em segurança, existem riscos adicionais ao repassar ameaças aos clientes por meio da cadeia de fornecimento de software.
Levar a segurança mais a sério requer comprometimento executivo
Todos afirmam levar a segurança a sério, mas se os executivos de segurança e líderes não estiverem de fato engajados, testando ou mesmo implantando táticas regularmente e com frequência (esta é a parte chave) em todos os colaboradores, então eles não estão sendo totalmente honestos consigo mesmos.
Sem treinamento frequente de atualização e uma cultura que desenvolva e apoie uma força de trabalho consciente em segurança, o risco para o negócio é grande. As pessoas podem criar ou quebrar um ambiente seguro e sim, elas cometem erros, esquecem ou são facilmente enganadas.
E com a inteligência artificial e o aprendizado de máquina sendo usados agora para criar iscas mais realistas e direcionadas, a única maneira de mitigar esse risco é com treinamento e conscientização contínua.
O que torna um treinamento eficaz?
Ensine o porquê, não apenas o que
Isso é essencial para qualquer tipo de treinamento. Exigir conformidade faz com que os procedimentos obrigatórios pareçam uma imposição e toda a segurança um obstáculo a ser evitado. Explique as vulnerabilidades de segurança e as armadilhas comuns para que os usuários percebam a importância de sua vigilância. Explique as consequências para o negócio e para cada usuário (tanto em sua vida profissional quanto pessoal e familiar).
Não evite detalhes técnicos
Sua equipe técnica desejará conhecer quaisquer limitações que afetem sua capacidade de execução.
Quando as soluções ou etapas de segurança podem afetar a entrega, isso deve ser considerado e explicado corretamente aos líderes sêniores em termos de risco e gerenciamento de incidentes. Esses líderes devem estar preparados para que a segurança diminua a velocidade das coisas e apoiem isso, pois para a conscientização em segurança é fundamental uma abordagem descendente.
Os colaboradores não técnicos entenderão melhor a escala e os perigos presentes quando o treinamento for apoiado por exercícios e atividades que os coloquem no centro da ameaça, seguidos por estatísticas sobre o tempo de ocorrência, custos estimados de remediação e o impacto nos negócios para eles e sua segurança, caso ocorram perdas. Detalhes relevantes destacam a importância do exercício.
Seja humano, seja real
Aborde as principais áreas de risco, engenharia social, senhas, segurança física, manipulação de dados e conformidade, etc. Mas não se esqueça de ser humano.
Pessoas técnicas e de negócios devem entender quais são as principais áreas de risco para o negócio e seus próprios papéis. Pense na cultura de seres humanos interagindo com seres humanos. Torne seguro para as pessoas se manifestarem ou admitirem falhas quando aplicarem o treinamento no mundo real.
Torne-o acessível para todos
O treinamento em segurança deve ter linguagem simples, para que atinja tanto os especialistas que têm conhecimento técnico mas não sobrecarregando ou afastando os menos tecnicamente alfabetizados.
Vale a pena adaptar a mensagem para o cargo e a hierarquia da audiência e treinar grupos de pares juntos. Não é bom para os juniores não pedirem esclarecimentos porque estão impressionados com o gerente ao lado deles.
Ter especialistas projetando treinamentos que atendam às necessidades de grupos específicos ajuda a evitar que as pessoas se desliguem. Todos, quer admitam ou não, adoram uma boa história de terror. Aposte nisso com um treinamento envolvente baseado em histórias que motivará os usuários a compartilhar e discutir.
Seja engraçado, seja memorável
Aplique todas as melhores práticas de um contador de histórias para que os elementos escritos brilhem e as partes faladas sejam bem recebidas. Um ótimo treinamento em segurança não é insosso, é importante e merece ser impactante.
Lembre-se: a repetição espaçada e variada é fundamental para a consolidação da aprendizagem a longo prazo. Os executivos de segurança devem correr o risco de se tornar impopulares insistindo em treinamentos e atualizações frequentes e regulares.
O treinamento regular (atualização anual padrão) não é mais suficiente. Treinamentos planejados e surpresas frequentes devem ser fornecidos. A implantação de equipes e exercícios surpresa pode realmente elevar o jogo de seus colaboradores.
Independentemente dos resultados, garanta uma cultura de aprendizado em vez de culpabilidade, e incentive os níveis corretos de transparência, investigação e honestidade.
Dê aos engenheiros as ferramentas para criar segurança por design
Sua equipe técnica e de produtos precisa de treinamento em segurança ainda mais para incorporar as melhores práticas no fluxo de trabalho de CI/CD e garantir que as soluções não sejam vulneráveis a riscos conhecidos.
Invista nas ferramentas e no treinamento que forneçam aos funcionários técnicos os frameworks e modelos para tornar a segurança um passo simples e fácil ao criar ótimos produtos. É mais barato evitar vulnerabilidades ou futuras violações na fase de desenvolvimento.
Enfrente as pressões de redução de custos apontando para produtos que acabaram causando problemas devido à segurança negligenciada e apresente um caso que mostre que produtos seguros garantem lucratividade.
Supere todos os desafios e faça valer a pena
No geral, o treinamento em conscientização de segurança é essencial e deve ser um processo vivo e em constante evolução.
Dê o mesmo cuidado e atenção ao conteúdo, estilo e entrega como se fosse com um discurso de casamento e uma apresentação para investidores. O estilo nunca deve superar o conteúdo, mas se o treinamento de conscientização for eficaz, ele deve ser um segundo muito próximo.
Para obter resultados mais seguros, as empresas devem elevar seu jogo de treinamento em segurança, ou nosso mundo digital como um todo ficará um pouco pior, um produto, um sistema, um dia de cada vez.