Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, a Segurança da Informação provavelmente não vai acontecer.
Existem várias causas possíveis para explicar essa visão de "coisa do pessoal da TI". Uma delas, por exemplo, é a falta de percepção dos colaboradores sobre a importância do seu papel no processo de Segurança da Informação. Enquanto alguns profissionais se sentem inibidos e não entendem a "sopa de letrinhas" da tecnologia que envolve a área, outros estão tão habituados com as atividades que executam e têm um domínio tão completo sobre suas tarefas que encaram seu trabalho como algo trivial, não percebendo o valor das informações que utilizam e os impactos negativos que podem ocorrer caso esses dados sejam utilizados de forma inadequada.
Diante desse cenário, como mudar essa visão e conscientizar os colaboradores a criarem uma cultura da Segurança da Informação. Os treinamentos formais são úteis, importantes e necessários, mas não são o suficiente. Atualmente, ninguém mais quer ficar passivamente lendo manuais ou assistindo palestras tradicionais nas quais uma pessoa apresenta centenas de slides e a interação com o público é baixa ou nula.
Um caminho para resolver essa questão é usar a gamificação, um método de conscientizar pessoas e promover a mudança de comportamento utilizando a mecânica de jogos. Essencialmente, é pegar o que é divertido sobre os jogos e aplicá-lo a situações que talvez não sejam tão divertidas.
De maneira bem resumida, um caminho para conscientizar os colaboradores de forma a mudar seu comportamento e colaborar com a implantação de uma cultura de Segurança da Informação utilizando métodos de gamificação inclui:
- Enxergar o colaborador (usuário) como aliado, não como o elo mais fraco;
- Selecionar uma ferramenta adequada para alavancar o processo de gamificação;
- Criar um regulamento para o "jogo", ou seja, o que vale e o que não vale ponto, duração da temporada, quais são os prêmios etc.;
- Definir os métodos de comunicação interna que serão utilizados para divulgar o "jogo";
- Definir os indicadores de performance que serão utilizados para avaliar os resultados;
- Iniciar a temporada do jogo, acompanhar e apoiar os participantes durante toda a temporada;
- Encerrar a temporada, apurar os resultados e premiar os "vencedores";
- Voltar a etapa 4 e iniciar uma nova temporada.
A Segurança da informação não é apenas responsabilidade do pessoal da TI. Pelo contrário, ela deve ser uma prática ativa de todos os colaboradores da empresa, independente de função ou nível hierárquico.
Utilizar um processo de conscientização baseado em técnicas de gamificação pode facilitar bastante o engajamento dos colaboradores nessa cultura, beneficiando a todos.
Armando Ribeiro, consultor de cibersegurança da Protiviti.
