Porque a conformidade da tua consciencialização cai em março

Planta de oficina junto a una ventana con la mitad de las hojas marchitas y la otra mitad verdes, bajo luz cálida de mañana

Porque a conformidade da tua consciencialização cai em março

A maioria das equipas de segurança revê a conformidade da sua consciencialização uma vez por ano, mesmo antes da auditoria. Montam a folha de cálculo, reúnem os certificados, calculam a percentagem e respiram de alívio. O problema é que esse número já expirou. A formação que as pessoas concluíram há doze meses deixou de estar válida a dado momento, provavelmente sem que ninguém reparasse, e a folha continuou a mostrar o mesmo verde de sempre.

Quando o auditor aparece em novembro, a conformidade que consta no documento e a conformidade real da organização são duas coisas distintas. E a lacuna não se abriu nesse dia. Vinha a alargar-se desde muito antes.

O que significa que a conformidade da consciencialização é contínua?

A conformidade da consciencialização é a proporção do teu universo de colaboradores que tem formação válida num dado momento. A palavra que importa é válida. Não basta ter formado alguém uma vez: essa formação tem uma data a partir da qual deixa de contar, e a partir daí a pessoa volta a constar como pendente.

As normas que exigem consciencialização entendem-no assim. Tanto a ISO/IEC 27001 como os quadros regulatórios mais recentes falam de um programa sustentado no tempo, não de um curso dado uma vez e arquivado. A auditoria é uma fotografia pontual, mas a obrigação que essa fotografia verifica é permanente. Por isso medir a conformidade uma só vez por ano deixa por cobrir os outros onze meses.

Ajuda compará-lo com algo mais físico. A ninguém ocorreria mostrar a um inspetor o certificado de revisão de um extintor assinado há três anos e dar por garantido que o equipamento continua em condições. Compreendemos que essa garantia caduca e que o controlo se repete em intervalos. Com a consciencialização passa-se o mesmo, só que o seu vencimento não deixa uma etiqueta à vista. As pessoas continuam a trabalhar, os sistemas continuam a funcionar, e o único sinal de que a cobertura caducou aparece quando alguém a vai procurar e já não está lá.

Porque cai em março e não no dia da auditoria?

Porque a consciencialização expira em silêncio. Pensemos numa organização que formou todo o pessoal em março do ano passado e fechou o período com uma conformidade impecável. Doze meses depois, essa formação chega à data de validade. De um dia para o outro, boa parte do universo que constava como coberto deixa de o estar, ainda que ninguém tenha feito nada de diferente.

A isto soma-se o movimento normal de qualquer empresa. Cada pessoa que entrou depois da última campanha entra no universo sem formação. Cada mudança de função expõe alguém a riscos que a formação anterior não contemplava. O número real de conformidade desce semana após semana, de forma gradual, enquanto o documento que montaste na altura permanece intacto numa pasta.

A auditoria não parte nada. Limita-se a acender a luz numa sala que já estava desarrumada.

O que fica exposto enquanto a conformidade está expirada?

A parte incómoda não é a casa vermelha na auditoria. É o que acontece nos meses em que a cobertura não existe e ninguém o regista. Quem recebeu formação há mais de um ano conserva uma parte do que aprendeu, mas os sinais ficam desfocados precisamente quando os ataques mudam de forma. E as pessoas que entraram depois da última campanha nunca tiveram essa base.

O resultado é uma organização que se julga coberta e opera, durante uma parte do ano, com uma proteção que já caducou. Não é algo que se note no dia a dia, porque não deixa um aviso. Nota-se no dia em que alguém aproveita essa janela, ou no dia em que o auditor pede a evidência e a data não corresponde.

Porque é que os planos manuais chegam sempre tarde?

Uma folha de cálculo é uma fotografia, e uma fotografia envelhece. Quando terminas de montar o plano anual (definir o universo, atribuir os cursos, carregar as datas) já passaram semanas, e a realidade que tentavas captar mudou. O Excel não sabe que a formação de uma pessoa expirou ontem nem que esta manhã entraram quinze novos colaboradores. Também não te avisa. Continua a mostrar o que carregaste da última vez que o abriste.

O plano manual mede ainda o que é fácil de contar, não o que importa. Conta cursos concluídos sobre cursos atribuídos e celebra a percentagem, sem se perguntar se esse universo é o correto nem se a formação que soma continua válida. Persegue a completude de uma lista fechada quando a conformidade real depende da continuidade sobre um universo que se move todos os dias.

O resultado é previsível. O esforço concentra-se nas semanas anteriores à auditoria, o período fecha com um bom número, e o relógio volta a correr contra ti no dia seguinte. É muito trabalho para uma conformidade que dura pouco.

E esse trabalho é pago pela equipa de segurança, que dedica várias semanas por ano a reconstruir à mão um estado que mudou enquanto o reconstruía: cruzar listas de pessoal, rever quem fez o quê, perseguir os que faltam, refazer a folha. É tempo de pessoas caras gasto numa tarefa administrativa que, ainda por cima, fica desatualizada assim que é entregue. A sensação de controlo que dá fechar o período com um bom número é real enquanto dura, e dura até ao primeiro vencimento.

Como se vê a conformidade quando se mede como um estado vivo?

Muda o momento em que olhas para o número. Em vez de o calcular uma vez por ano, tem-lo disponível todos os dias: que proporção do teu universo tem hoje formação válida, quem acabou de expirar, quem entrou e ainda não foi formado. A conformidade deixa de ser um sprint pré-auditoria e passa a ser um indicador que observas como qualquer outra métrica de segurança.

É assim que pensamos a conformidade da consciencialização na SMARTFENSE, como parte do risco humano que se mede com a conduta observada e não com uma declaração anual. Medir a validade pessoa a pessoa, em tempo real, tem um efeito colateral importante: quando chega o auditor, não há nada a reconstruir. A evidência de que o programa esteve ativo o ano todo já está, porque se foi gerando sozinha enquanto o programa funcionava.

Esta é a diferença entre demonstrar que cumpriste e demonstrar que vens cumprindo. A primeira monta-se à pressa; a segunda sustenta-se.

A conformidade que dura o ano inteiro

A conformidade da consciencialização não se ganha em novembro com um esforço de última hora. Ou se sustenta ao longo dos doze meses, ou não existe no dia em que alguém a olha de perto. A folha de cálculo anual dá uma sensação de controlo que a realidade desmente assim que passa o primeiro vencimento.

Se quiseres ver como se mede a conformidade do teu programa como um estado vivo, e não como uma fotografia que envelhece sozinha, podes conhecer a plataforma ou escrever-nos para uma demonstração sobre os teus próprios dados.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deixe um comentário