INTRODUÇÃO

Cultura é um conjunto de pensamentos e atitudes difícil de ex-

plicar, mas muito fácil de perceber, sobretudo quando estamos
olhando para a cultura alheia. Nações possuem cultura e povos
também. Na verdade, qualquer agrupamento de gente pode ter
sua cultura, inclusive empresas de qualquer tamanho.

Nesse e-book falaremos sobre como desenvolver e manter uma

cultura de segurança aplicando boas iniciativas que respeitam
as especificidades dos grupos e que possuem mais chances de
darem certo. Por isso nos embasamos em nossa experiência
com milhares de campanhas de treinamento e em boas práti-
cas reconhecidas internacionalmente - como as divulgadas pelo
NIST e pela ENISA1 - para oferecer um caminho com maior pro-
babilidade de alcançar o pleno potencial de uma cultura de se-
gurança em sua organização.

Na primeira parte desse e-book explicamos o que é uma cultura

de segurança e qual é a sua relação com os programas de educa-
ção nesse tema. Explicaremos o quanto isso é importante para
proteger sua organização e quais são os melhores amigos e prin-
cipais ameaças para uma cultura de segurança.

1
National Institute of Standards and Technology e European Union Agency for Network and Information Security respectivamente. Tra-
tam-se de agências dos Estados Unidos e da União Europeia com a função de estabelecer padrões e normas que devem ser segui-
dos pelas mais variadas instituições governamentais ou privadas que, de algum modo, são ligadas aos governos elegíveis. Para este
e-book usamos como referência o guia “Cyber Security Culture in Organizations” da ENISA e o “Building an Information Technology
Security Awareness and Training Program - SP 800-50” do NIST.
 Na segunda parte abordamos quais seriam os componentes ne-
cessários para colocar uma cultura de segurança em movimen-
to, como definir objetivos e como medir sua eficiência. Há aqui
também um tópico especial dedicado à criação do programa de
educação. Nele falamos sobre como manter o foco, como defi-
nir qual abordagem usar, oferecemos dicas para a criação e se-
leção de conteúdo e debatemos sobre reconhecimento dos que
se dedicam ao programa.

Na parte final trataremos de como manter a cultura viva e em

movimento. Discutiremos sobre quais seriam os mecanismos
para aferir sua eficácia, o que precisa ser repetido e como man-
ter uma rotina de constante aprimoramento.

Como ficará claro ao longo da leitura, cultura é algo fluido. Es-

peramos que você consiga usar esse material para acrescentar
segurança na medida certa em meio à cultura de sua empresa.

3 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 ÍNDICE

05
parte 1
SEGURANÇA COMO CULTURA

09
parte 2
DO ALICERCE AO TETO

23parte 3
MOTO-CONTÍNUO

4 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 parte 1
SEGURANÇA
COMO
CULTURA

5 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 U ma cultura de segurança pressupõe que a segurança faça
parte integral do trabalho das pessoas e que o tema esteja
embutido em sua conduta e em suas atividades do dia a dia,
permitindo que identifiquem situações suspeitas, mesmo que não
conheçam a fundo como essas situações operam.

Pessoas podem ser educadas para isso da mesma maneira que

são educadas para identificar situações suspeitas em ambientes
que não são tecnológicos. Isso é comum em situações de conflito
ou em outros lugares poucos seguros. Há sempre uma troca de
conhecimentos que são incorporados ao dia a dia das pessoas
de modo que elas respondam às situações de risco quase que
instintivamente.

Trata-se de um modo de agir e pensar que independe da tecnologia,

pois desconfiar de mensagens suspeitas não é algo particular de
um software de mensagens. Pelo contrário, pode (e em muitos
casos, deve) acontecer até em situações em que não há tecnologia.

O objetivo desse e-book não é oferecer meios para criar uma cultura
baseada na paranoia. Pelo contrário, apresentamos caminhos
para que as pessoas internalizem um repertório de conhecimentos
novos na cultura da organização, algo que se recicla continuamente
e que pode ter uma dose saudável de segurança em seu conteúdo.

Aquilo que pode definir o sucesso

e o fracasso de qualquer situação
Segundo o historiador Peter L. Bernstein, o que divide a história
da humanidade entre o passado e os tempos modernos foi o fato
de que nós aprendemos a “dominar o risco”, convertê-lo em algo
mensurável de modo a tornar possível a materialização de ideias
que antes eram inconcebíveis.

6 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Quem trabalha com segurança entende a importância da gestão
de riscos e também compreende que, assim como qualquer
outro recurso, humanos representam uma ameaça para qualquer
organização. Pessoas cometem erros de julgamento, sucumbem à
ganância e podem ficar desatentas. Tudo isso resulta em aumento
no risco de perdas, fraudes e em deixar portas abertas para
atacantes e criminosos.

A implementação de uma cultura de segurança pode ser

determinante na redução de riscos em organizações de qualquer
tamanho, pois os ataques mais frequentes hoje são contra as
pessoas. E todos precisam estar preparados para reconhecer
ameaças, mesmo que não tenham conhecimentos aprofundados
sobre como cada ameaça funciona. Ou seja, para soar um alarme
de incêndio não é preciso ser especialista em incêndios, nem se
arriscar chegando perto do fogo, basta notar a fumaça e reconhecê-
la como algo prejudicial.

Ter essa cultura “correndo nas veias” reduz sensivelmente o risco

de ataques. Entretanto, pode haver lugares com mais chances
de absorver uma cultura de segurança do que outros e isso tem
relação com a própria cultura da organização.

Amigos e inimigos de uma cultura de segurança

Cultura é um ente orgânico, influenciado pelas mudanças que
acontecem ao seu redor e que está o tempo todo incorporando
elementos de outras culturas ou os repelindo. Por exemplo, o
desenvolvimento das redes sociais criou enormes possibilidades
de trocas culturais na mesma medida em que formou bolhas de
opinião que desprezam ideias diferentes.

Dessa forma, é importante considerar a cultura de segurança

como algo que faz parte da cultura organizacional da empresa e
não como um apêndice que fala uma língua diferente.

2
Bernstein, Peter L. “Against the Gods: The Remarkable Story of Risk”. 1996.

7
 O senso de pertencimento e a capacidade de engajamento das
pessoas podem ser determinantes para o sucesso de um projeto
de implementação de uma cultura de segurança. Se as pessoas
acreditam que pertencem a algo importante ao colaborar para sua
organização, há mais chances de direcionar esse sentimento para o
zelo com os temas de segurança. Outra vantagem em usar o senso
de pertencimento é que
ele rompe as barreiras dos
departamentos, assim há
É importante considerar a cultura mais chances de as pessoas
de segurança como algo que faz incorporarem a mensagem
parte da cultura organizacional da de que a segurança é um
empresa e não como um apêndice “dever de todos” e não só de
uma área específica.
que fala uma língua diferente.
Por outro lado, equipes
estimuladas a se orientarem
pelo interesse individual tendem a ter gente muito focada em
cuidar somente de suas atribuições, dedicando pouco ou nenhum
interesse aos temas que envolvem a empresa como um todo.
O mesmo acontece em ambientes nos quais o pensamento é
rigidamente orientado à estrutura departamental, ou em silos
departamentais. Nesses casos há também um baixo engajamento
nos temas que estão além da fronteira das atividades do
departamento.

Tão prejudicial quanto o pensamento orientado ao indivíduo ou ao

silo departamental é a apatia institucionalizada, que também pode
operar como uma inimiga da cultura de segurança. Pessoas que
não possuem compromisso com o que fazem ou com a organização
podem agir de modo a representar mais risco para a segurança.

Felizmente a maioria desses problemas pode ser tratada, caso a

organização dedique tempo e esforço em construir uma cultura de
segurança. A seguir descrevemos os passos para que isso aconteça.
 parte 2
DO ALICERCE
AO TETO

9 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 O caminho para estabelecer uma cultura de segurança depende
do comprometimento de múltiplas equipes; da definição
de objetivos claros e mensuráveis; da constante coleta de dados
sobre como as pessoas interagem com a tecnologia - necessário
para criação de indicadores que demonstrem o progresso não só
da implementação da cultura, mas também da redução do risco -;
e de um programa de educação que se renove constantemente,
“sedimentando” o conhecimento a ponto desse se emaranhar à
conduta das pessoas.

O grupo de trabalho
Implementar o projeto de criação da cultura de segurança depende
de uma equipe multidisciplinar formada por representantes da
alta gestão, de tecnologia, de recursos humanos, do marketing, de
pessoas ligadas ao tema de conformidade e/ou jurídico e, claro, de
membros da área de segurança da informação.

Esse grupo precisa estar comprometido não só em pôr a cultura

de segurança em movimento, mas também precisam ser os
primeiros a agir com base nela. Ou seja, para que possamos
mudar a forma das pessoas pensarem a respeito de algo é
necessário que a equipe por trás da mudança esteja convencida
de sua importância. Agora falaremos um pouco sobre os papéis e
responsabilidades de cada grupo.

10 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Membros do “C-Level” inspiram os demais e servem de exemplo
para toda organização. Portanto, quando há o envolvimento
verdadeiro dos diretores, há exemplos a seguir e com isso há mais
chances de a cultura de segurança se tornar realidade.

As áreas de tecnologia possuem a responsabilidade de manter

vivos os processos e tecnologias para a segurança do ambiente,
além de coletar os dados para medir a performance destes.

Representantes de recursos humanos conhecem a forma de pensar

e a cultura da organização de modo a ter uma noção muito clara a
respeito de quais abordagens possuem mais chances de funcionar.
Eles também são um elo valoroso entre os gestores e a equipe.

Representantes do marketing são treinados para criar

mensagens com maior chance de engajamento entre as equipes.
Essas pessoas podem ter um papel importante na mudança de
pensamento esperada na implantação de uma cultura.

As formas como as equipes serão abordadas durante o processo

de disseminação da cultura de segurança precisam estar de acordo
com normas do mercado e com a legislação. Por isso é importante
ter representantes das áreas jurídicas e/ou de conformidade
no grupo de trabalho.

Já a área de Segurança da Informação é responsável pela gestão

do programa e implementação da cultura de segurança e também
pelas atividades para mantê-las vivas. E o primeiro movimento
nesse sentido é a definição de metas mensuráveis.

11 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Responsabilidades de cada
NA PRÁTICA
membro do grupo de trabalho

ALTA GESTÃO
• Protagonizar vídeos de conscientização;
• Assinar mensagens sobre o tema;.
• Assumir uma atitude com relação à
segurança que sirva de exemplo.

RECURSOS HUMANOS
• Apoiar as áreas na criação de conteúdo de
conscientização e treinamentos que estejam
de acordo com a cultura da organização;
• Apoiar gestores no processo de tornar sua
equipe parte da cultura de segurança;
• Indicar pessoas que possam assumir a função
de embaixadores da cultura de segurança.

TECNOLOGIA
• Manter controles de segurança ativos;
• Oferecer dados sobre o comportamento
dos usuários;
• Colaborar na criação de conteúdo de
conscientização e treinamentos para
Sysadmins, DBAs e Devops.

11 22 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 MARKETING
• Aplicar identidade visual da organização a materiais
de conscientização e treinamento;
• Apoiar as outras áreas na elaboração de uma narrativa
que tenha mais chances de engajar as pessoas;
• Elaborar formas de reconhecimento e valorização
das pessoas que se destacam.

SEGURANÇA DA
INFORMAÇÃO
• Análise dos diversos indicadores
de segurança do ambiente;
• Definição das prioridades
do programa de educação
em segurança;

CONFORMIDADE • Definição dos objetivos e metas;

E/OU JURÍDICO • Gestão do programa de
• Definir quais serão as educação em segurança.
evidências de realização
das atividades de educação
em segurança e as formas
de coletá-las de modo a
estar em conformidade
com normas e padrões;
• Avaliar se todas as
atividades de educação
cumprem com a
legislação vigente.

13 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Metas a alcançar e passos para chegar lá
A definição de metas claras é algo muito importante para
estabelecer uma cultura de segurança. Uma ótima ferramenta
para isso são os OKRs ou Objectives and Key Results (objetivos e
resultados-chave), método criado nos anos 80 por Andy Grove na
Intel e usado até hoje por empresas de vários tamanhos.

No método OKR as metas são compostas por um componente

estratégico e qualitativo, o objetivo, o qual é somado a componentes
menores, específicos e quantitativos: os resultados-chave. Os
OKRs podem ser definidos coletivamente pelo grupo e revisados a
cada trimestre.

Por mais que os objetivos sejam qualitativos, eles precisam ser

mensuráveis e escritos em uma linguagem objetiva. Por exemplo,
“criar um programa de segurança efetivo e dinâmico para a
proteção das informações” não é um bom objetivo, pois é baseado
em critérios subjetivos como “efetivo” e “dinâmico”.

Faz mais sentido a definição de um objetivo como “Reduzir em

80% os riscos da atividade humana classificados como críticos pela
última análise de riscos.”

Já os resultados-chave, definidos para alcançar os objetivos,

devem ser ainda mais claros e mensuráveis, podendo ser medidos
com exatidão. Por exemplo, para conseguir reduzir os riscos
mencionados no exemplo acima, uma organização pode ter que
treinar todos os administradores de rede em segurança avançada,
além de envolver todas as pessoas da área financeira e metade do
RH - somente os ligados ao processo de seleção - em palestras de
conscientização em segurança sobre phishing direcionado.

14 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 NA PRÁTICA Exemplo de objetivo
e resultados-chave

OBJETIVO
Reduzir em 80%
os riscos humanos
classificados como
críticos pela última
análise de riscos

RESULTADO-CHAVE 1
RESULTADO-CHAVE 3
Ter 100% dos administra-
Ter feito palestras de cons-
dores de rede treinados
cientização em segurança
em segurança avançada.
sobre phishing direciona-
do para 100% dos colabo-
radores do RH envolvidos
no processo de seleção.
RESULTADO-CHAVE 2
Ter feito palestras de
conscientização em segu-
rança sobre phishing di-
recionado para 100% da
equipe financeira.

É importante que os objetivos de segurança sejam incorporados aos ob-

jetivos da organização, inclusive inserindo os temas de segurança na
missão da empresa. Pois isso demonstra o comprometimento institucio-
nal da organização em se proteger.

15 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Medir é tão importante quanto treinar
Educação, no geral, é um processo em que a responsabilidade por
avançar é dividida entre o estudante, a docência e a instituição de
ensino. Cada parte possui a expectativa de que as outras farão o
melhor que podem no processo de aprendizado.

Quando falamos em estabelecer uma cultura de segurança, que

depende da execução de um programa de educação específico, não
podemos relegar seus resultados a uma questão de expectativas,
pois o que está em jogo são os riscos
de a organização sofrer um ataque. É
necessário exercer um controle maior
Análises de riscos são
sobre os resultados de cada atividade.
atividades essenciais para
Um excelente insumo para começar são empresas de todos os
os dados de análises de riscos anteriores. tamanhos e devem ser
Esses documentos apresentam um raio-x executadas anualmente.
a respeito da possibilidade de vários
cenários de ataque se concretizarem,
dentre eles os ataques contra as pessoas.
A condição de risco para cada cenário pode ser usada para criar
as metas, como abordamos na seção anterior, e também para ser
usada como métricas de absorção da cultura de segurança.

Análises de riscos são atividades essenciais para empresas de todos

os tamanhos e devem ser executadas, no mínimo, anualmente.
Entretanto, caso sua organização não possua esse tipo de prática,
vale a pena dedicar tempo em analisar os dados levantados
pelas campanhas de conscientização, como as elaboradas pelo El
Pescador. Acompanhar o progresso desses índices é tão importante
quanto treinar as pessoas.

16 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Alguns exemplos de fontes
NA PRÁTICA
que alimentam as métricas

SIMULAÇÕES DE ATAQUES
BASEADAS EM...

URLS
Medir a quantidade
de cliques em URLs
suspeitas antes e
depois de atividades
de educação e ARQUIVOS
conscientização pode ANEXADOS
ser um indicador A MENSAGENS
importante sobre a O mesmo vale
assimilação da cultura para o tratamento
de segurança. de anexos.

PHISHING
DIRECIONADO
As simulações de
phishing direcionado
(específico para aquela
vítima) podem oferecer
também ótimos dados
sobre o comportamento
dos usuários.

17 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 ESTUDO DE INFORMAÇÕES
EXPOSTAS PUBLICAMENTE
O estudo sobre os dados que
a empresa e as pessoas tornam
público também podem ser
uma ótima fonte indicadores.

ANÁLISES DE RISCOS FREQUÊNCIA

NA TROCA
Análises de riscos podem
DE SENHAS
ser documentos muito
ricos sobre o estado Logs sobre a
de segurança. mudança de senhas
após treinamentos
ou palestras de
conscientização pode
ser um indicador de
mudança na cultura.

REVISÃO DE
CONTROLE
DE SEGURANÇA
O mesmo vale
para mudanças na MESA LIMPA
permissão de pastas Avaliações periódicas sobre
no computador, quantos colaboradores limparam
chamados no suporte suas mesas e trancaram as gavetas
para a restrição e armários antes de sair também
de acessos, etc. operam com um indicador.

18 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 O Programa de Educação em Segurança
Segundo o NIST, conscientização é algo diferente de treinamento,
que também é distinto de educação. Quando fazemos
conscientização estamos chamando a atenção das pessoas para
uma situação, em treinamentos nós ensinamos habilidades e a
educação integra essas habilidades em torno de um determinado
tema. Por isso, para alcançar todo o seu potencial e gerar uma
cultura de segurança, é preciso combinar esses quatro elementos
em um programa: manter o foco nas metas, selecionar conteúdo de
acordo com o público alvo, formar embaixadores e recompensar
quem se esforça.

Considere que a fonte de conteúdo do programa é como uma

caixa de ferramentas, ela precisa ser variada e flexível o suficiente
para atingir públicos distintos e estar alinhada com as metas
anteriormente definidas.

Partindo das metas é possível identificar qual abordagem será mais

eficiente. Por exemplo: cartazes podem ser úteis para fixar uma
ideia comum a todos - como não reutilizar senhas; uma palestra
de conscientização pode ser usada para despertar o senso de
pertencimento de todos no combate a ameaças; e treinamentos
podem ensinar habilidades específicas para equipes que lidam
com informações críticas. Tudo isso integrado pode compor o
programa de educação em segurança.

19 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 O programa precisa considerar a expansão, de modo a ter
material que ajude a mitigar riscos em várias áreas da organização
como conteúdos específicos para desenvolvedores de sistemas,
administradores de rede, executivos, dentre outros.

Treinamentos de segurança para técnicos precisam ter conteúdo

e linguagem diferentes dos treinamentos para representantes da
área financeira, por exemplo. Dessa forma, se sua meta for a de
integrar equipes distintas é preciso ter uma abordagem variada,
que considera a cultura de cada localidade, a maneira como a
organização lida com a hierarquia e qual profundidade técnica
será usada com cada grupo.

É importante também considerar a

criação de uma rede de embaixadores
com origem em cada departamento.
Em treinamentos de
Essas pessoas podem operar como segurança é preciso ter
câmara de eco, retransmitindo não só as uma abordagem variada,
mensagens do programa de educação, que considera a cultura
mas contextualizando as pessoas sobre de cada localidade.
os conceitos por trás de cada ação. A
camaradagem presente nos grupos
que trabalham juntos pode operar
como motor do senso de pertencimento e tornar a narrativa de
segurança aderente à vida das pessoas.

A organização também precisa estar preparada para reconhecer e

valorizar as pessoas que mais se dedicam ao programa, sobretudo
os embaixadores, pois isso estimula os outros a se engajarem.

O programa precisa prever atividades contínuas e pode ser

dividido em temporadas anuais que envolvam atividades variadas
(palestras, treinamentos, cartazes, eventos, etc.) em ciclos de
aprendizado contínuo.

20 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Algumas atividades que podem ser
NA PRÁTICA
incorporadas ao programa de educação

CARTAZES E MEMES
São ótimos para passar uma
mensagem simples e rápida, como:
• Manter a mesa limpa;
• Não compartilhar senhas;
• Bloquear o computador antes
de deixar o ambiente;
• Não fazer o reuso de senhas,
dentre outras.

SIMULAÇÃO DE PHISHING
GUIAS, CARTILHAS Estas simulações são um dos
E E-BOOKS meios mais eficientes de avaliar
o risco de ataques contra as
São excelentes quando
pessoas e consequentemente
escritos de maneira a ser uma
treiná-las. O El Pescador oferece
referência para a consulta
simulações com as seguintes
posterior e podem ser usados
características:
como um modo de as pessoas
terem contato com cada um • no clique em links suspeitos.
dentre os diversos temas da • na abertura de anexos
segurança, tais como: maliciosos.
• Manual da política de • na coleta de informações.
segurança;
• em phishing direcionado.
• Formas de identificar um
• na exploração da relação
ataque de phishing;
de confiança que o usuário
• Como configurar a tem com outras pessoas.
criptografia de e-mail;
• em vazamentos de dados.
• Guia sobre classificação da
• na entrega de malware.
informação, dentre outros.

21 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 PALESTRAS DE CONSCIENTIZAÇÃO
• A história da criptografia
As palestras cumprem a função de
para falar da importância
chamar a atenção das pessoas para
em codificar emails.
uma determinada pauta do programa
de conscientização. Elas podem atingir • As mais variadas formas
as expectativas do programa quando de proteger dinheiro no
conduzida por um especialista na área passado, para demonstrar
que imprima uma linguagem envolvente a complexidade em proteger
sobre temas específicos, por exemplo: dados na atualidade.
• Como um ataque de phishing
contra uma pessoa pode
acarretar no vazamento
de dados de uma empresa
inteira, dentre outros.

TREINAMENTOS
EVENTOS
Os treinamentos demandam
mais tempo e se aprofundam Eventos de segurança são
em assuntos de segurança. uma ótima maneira para
Eles podem ser desenvolvidos engajar a empresa toda de
com base nos seguintes temas: uma vez só. Eles alcançam
melhores resultados quando
• Segurança para Sysadmins; realizados com periodicidade
• Segurança no desenvolvimento definida, no mínimo anual,
de software; e se mesclam palestras com
atividades lúdicas, como
• Técnicas para a identificação
a realização de jogos e
de golpes de CEO fraud,
distribuição de brindes.
dentre outros.

22 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 parte 3
MOTO-
CONTÍNUO

23 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 T ratamos da definição de metas, da seleção das atividades e do
conteúdo presente no programa de educação em segurança
e dos passos para a execução de uma temporada do programa.
Tudo isso se assemelha a um projeto pois, em tese, tem começo,
meio e fim. Mas como tornar isso realmente vivo?

Para ativar essa característica de autonomia, típica de uma cultura,

é necessário tempo e persistência. Mas também manter a atenção
às métricas, repetir as mensagens importantes e determinar os
momentos quando as pessoas precisam passar por treinamentos
essenciais, ou repeti-los.

Para saber se estamos no caminho certo

Já mencionamos a importância das métricas e indicadores, nessa
fase elas são ainda mais relevantes. Quem conduz o programa
precisa implementar vários meios para coletar informação sobre
o quanto as atividades estão surtindo efeito. Listas de presença
nos encontros e pesquisas de satisfação são indispensáveis, mas
isso precisa ser combinado com a coleta de dados técnicos - por
exemplo, quantas pessoas trocaram as senhas após o treinamento
- e a execução de novos testes e análises de risco. Assim é possível
aprender a respeito do que foi ou não compreendido pelas equipes.

Manter conversas com os embaixadores também é algo essencial.

Eles podem não só oferecer insumo para novas atividades,
mas também para a implementação ou revisão de controles de
segurança. Por exemplo, notar que o bloqueio de estações de
trabalho por inatividade não está funcionando para um determinado
conjunto de usuários, pois eles não internalizaram a recomendação
de bloquear o computador antes de deixar sua mesa.

24 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 Repetir e reforçar
Também é recomendável que as áreas ligadas ao programa
selecionem temas que precisam ser reforçados a todo momento,
por exemplo, não fazer o reuso de senhas. O número de temas
precisa ser restrito para não confundir o público, porém os temas
precisam ser abordados de maneiras diversificadas (cartaz, e-mail,
meme, etc.) e muitas vezes no decorrer da temporada.

Outro veículo que pode ajudar bastante é manter um canal para

que notícias do universo da segurança possam ser compartilhadas
com toda a organização em uma linguagem acessível a todos.
Assim as pessoas podem se prevenir por meio do que acontece
no mundo real.

É recomendável repetir treinamentos específicos na ocasião

de incidentes de segurança. Isso precisa acontecer não em um
viés punitivo, mas como uma oportunidade de reciclagem de
conhecimento.

Ter um material específico para os novos funcionários, para ser

usado no processo de admissão e também em fusões e aquisições,
é também algo importante para acolher os novatos e inseri-los na
cultura de segurança da organização.

Cultura é vida
Nesse e-book pudemos explicar o que é uma cultura de segurança
e como ela se relaciona com a cultura de organizações dos mais
variados tamanhos e atividades.

Também demonstramos os passos por meio dos quais uma

cultura de segurança pode ser construída: o estabelecimento de

25 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
 um grupo de trabalho com papéis claros, a definição de metas
objetivas, o uso de métricas como a base de onde tudo acontece e
a criação e execução de um programa de educação em segurança
com abordagem específica para cada público alvo.

Estamos falando de gente, por isso a criação de uma cultura de

segurança não é uma iniciativa composta por procedimentos
que determinem resultados exatos. Por mais que queiramos,
pessoas não são exatas e a história está cheia de eventos nos
quais leis, movimentos militares, planos econômicos e mudanças
organizacionais foram estabelecidas esperando um determinado
resultado do público, mas no final tiveram outro.

Por isso é tão importante medir, reavaliar e fazer correções de

percurso a todo momento, pois estamos falando de algo vivo,
suscetível a mudanças nos rumos da organização, da situação
econômica e de diversas outras coisas que afetam a vontade
humana, mas que também pode, mesmo diante das adversidades,
determinar atitudes que preservem os dados das organizações e
de seus clientes.

26 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
27 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A