Na manhã da última quinta-feira (10), foi apresentado aos clientes o novo serviço da Prodeb - Conscientização em Segurança da Informação.
Trata-se de uma ferramenta automatizada de conscientização contínua em segurança cibernética por meio de simulações controladas de phishing (ataque cibernético que visa obter informações confidenciais de usuários), auxiliando as instituições no combate a ameaças virtuais. A partir da implantação dessa solução, espera-se a formação de servidores conscientes e preparados para lidarem com as ameaças cibernéticas - cada vez mais nocivas e recorrentes na rotina de quem acessa rede de dados e dispositivos eletrônicos.
Para Valéria Valverde, lotada na Casa Civil, o serviço é uma ferramenta que vai além de uma simples conscientização. “Trata-se de um produto que vai contribuir com a evolução da cultura organizacional dos órgãos, combatendo ameaças em engenharia social e focando naquilo que uma organização tem de mais importante, seus colaboradores, consolidando que são eles um dos elos mais importantes para formar uma sólida corrente de combate as ameaças cibernéticas”.
A apresentação contou com a presença de servidores de 25 órgãos, entre gestores de TIC, diretores gerais e APGs. Eles conheceram o novo serviço e aspectos relevantes necessários para a implantação da ferramenta como a participação da alta gestão do órgão, a necessidade de transformação cultural dentro das organizações e, principalmente, a importância da mudança de comportamento dos servidores de cada órgão no que se refere ao cuidado com as informações - esse é o fator que define o sucesso do serviço.
Como o foco do serviço está em conscientizar os servidores para o trato cuidadoso e consciente das informações que circulam nos órgãos, a apresentação foi segmentada e trouxe aspectos pontos importantes sobre o tema, antes da apresentação detalhada do serviço. Diógenes Bento, gerente de Relacionamento e Atendimento, deu as boas-vindas e apresentou um panorama geral sobre o serviço. Walter Trovijo, assessor de Segurança da Informação e de Proteção de Dados, apresentou pontos sensíveis à segurança da informação, sinalizando a necessidade do trato consciente dos dados que circulam nas organizações e as ameaças constantes que desafiam as rotinas de trabalho. Na sequência, Rejane Coutinho, coordenadora de Acompanhamento de Produtos e Serviços, apresentou a ferramenta de forma mais detalhada - painéis, atores envolvidos na implantação, dashboards, formas de acompanhamento e avaliação das atividades, custos, entre outros. E, para finalizar, André Peixinho, coordenador de Relacionamento com o Cliente, ressaltou a necessidade de se internalizar um comportamento mais consciente sobre a segurança dos dados e trouxe o detalhamento das informações relacionadas à forma de contratação.
A plataforma apresenta um trabalho de conscientização para o trato mais consciente das informações. Para André Peixinho, "esse serviço é muito mais que um treinamento. É uma transformação no comportamento das pessoas, e essa mudança termina se estendendo à vida pessoal de cada um. Elas passam a ficar mais cuidadosas, também, com os seus dispositivos pessoais e com a maneira como lidam com os dados aos quais têm acesso, como seus próprios celulares e laptops, por exemplo".
O serviço
O serviço de Conscientização em Segurança da Informação consiste numa ferramenta de conscientização contínua em segurança cibernética por meio de simulações controladas de ameaças virtuais. A plataforma, que deve envolver todos os colaboradores que acessam dispositivos eletrônicos, inclui treinamentos de conscientização, simulações de phishing para avaliar os usuários, cursos de curta duração com avaliação, séries, games, ranking de pontuação.
Para a implantação da ferramenta, é feita previamente uma avaliação para identificar o nível de maturidade dos servidores no que se refere ao trato com as informações. A partir daí, os módulos são adaptados e é iniciado o treinamento. Na capacitação, são trabalhados temas como proteção a ameaças, cuidados com autenticação e senhas, melhores práticas de tratamento de dados (incluindo LGPD), identificação e comunicação de incidentes de segurança, cuidados no trabalho remoto/uso de redes públicas e treinamentos direcionados para equipes de TIC, áreas administrativas e gestores.
Para os órgãos que adquirem a plataforma, são disponibilizados cadastro dos usuários do órgão, plano anual de conscientização, simulações periódicas de phishing, avaliação constante de maturidade, dashboards e relatórios de monitoramento das atividades. A utilização da ferramenta deve acontecer por um período mínimo de dois anos - período que se espera para transformar os servidores em agentes fortes e cada vez mais ativos para auxiliar as organizações no combate às ameaças cibernéticas.