3 dicas para engajar usuários em segurança da informação
Mudanças sempre suscitam resistência, principalmente quando impactam a rotina de forma significativa. E quando se fala em segurança da informação (SI), isso é praticamente uma regra. Historicamente, os usuários torcem o nariz para qualquer imposição da TI ou da área de SI quando ela existe de forma independente na companhia. Queixas do tipo: ‘isso trava meu computador’, ‘tal regra atrapalha meu desempenho’ ou ‘ficou mais complicado trabalhar’, são constantes. E como lidar com tal situação?
O trabalho não é simples, mas algumas empresas tentam criar uma abordagem sempre buscando uma adaptação ao ponto de vista do usuário, trazendo os funcionários para mais próximo da área criadora das regras e até convidando alguns representantes para contribuírem na formulação de uma nova política. Essa tática pode trazer bons resultados, como demonstrou Mike Kalac, CISO do Western Union, instituição financeira criada em 1851 e com tradição de investir em tecnologias. Em 2008, por exemplo, fez sua primeira transferência por dispositivo móvel e hoje contabiliza 70 milhões de clientes, mais de 500 mil pontos de atendimento e nove mil funcionários.
Durante o Interop 2014, em Las Vegas, o executivo expôs como era a situação da segurança da informação na empresa antes de um projeto de maior aproximação com usuários. “Em 2012 os benefícios de segurança ainda não estavam comprovados, com baixa taxa de adoção, desperdício de recursos, entre outros”, comentou. “Você sabe quem é e quais acessos deve ter, isso é um processo fácil. Parecia tudo muito simples. Mas as pessoas odiavam o sistema de controle. Além disso, no momento de troca de CIO, RH e marketing, bloqueamos Facebook e YouTube porque era inseguro.”
Da apresentação dele, tiramos três dicas que podem ajudar nesse processo de implantar uma cultura de segurança da informação em sua empresa.
1 – Esteja próximo “As pessoas não entendiam o porquê das coisas. Entendiam a segurança do aeroporto e achavam que a tecnologia e os processos aplicados em casa eram melhores que os da empresa. Uma série de pontos causavam resistência, como o não uso de VPN para acessar a rede da Starbucks, por exemplo. O fato é que, no aeroporto, você não queria tirar sapato, passar no laser e tudo mais, mas por entender a necessidade, faz sem problemas. Com segurança da informação é o mesmo. Precisamos entender a cultura e o comportamento das pessoas em nossa organização. Como minhas ações poderiam ajudar a definir o que escolher como tarefa? Que nível de risco é aceitável? Como engajar as pessoas de formas diferentes? Quem nunca teve problema em negar acesso ou dizer ao outro o que fazer e não fazer? Aí você volta para a sala e tudo recomeça.”
2 – Tenha abordagem programática “Chamo de abordagem programática o envolvimento de pessoas chave e a identificação dos impactos para os usuários finais. Nos reunimos, explicamos a ferramenta, o que ela trará, possíveis impactos e, com isso, minimizamos descontentamentos. Um exemplo foi a ferramenta de single sing-on, que conseguimos uma boa adesão. No geral, as soluções foram implantadas aos poucos, com intervalos de ao menos dois meses entre uma e outra, de forma a minimizar os impactos.”
3 – Comunique bem “A comunicação precisa ser consistente, respondemos a todos os problemas relatados e usamos isso como medição do sucesso da comunicação. Sem uma comunicação consistente, você perde a mão e perde o apoio. Na implantação do single sign-on, enviamos comunicado e avaliamos o uso adequado da ferramenta. Era muito simples de aderir ao single sign-on. Em três meses mais de 3 mil pessoas passaram a usar e são usuários que provavelmente não o fariam se fossem obrigados, colocamos a solução como uma alternativa e chegamos ao objetivo final que era ter todo mundo nesse sistema. O benefício é adoção alta, feedback positivo, aumento de colaboração e, obviamente, aumento da segurança.”