RUN CISO RUN: o videojogo retro sobre sensibilização em segurança

RUN CISO RUN: o videojogo retro sobre sensibilização em segurança

Há alguns dias lançámos o videojogo retro RUN CISO RUN. Utilizamo-lo há já alguns anos nas nossas participações em feiras comerciais e congressos. Tenho de reconhecer que evoluiu muito ao longo do tempo e esperamos que continue a evoluir, uma vez que o achamos tão cativante como os outros jogos da década de 1980 pela sua simplicidade (graças ao nosso génio Pablo Abratte).

Dinâmica do jogo

No jogo deparamo-nos com um ecrã dividido verticalmente em três secções:

  • À esquerda apresenta-se um cenário de inação absoluta, onde os ataques provêm do exterior e apenas as ferramentas técnicas tentam travar os cibercriminosos.
  • No centro está a nossa personagem, o CISO, que corre para gerar conteúdo e ministrar o programa de sensibilização em cibersegurança aos utilizadores finais.
  • À direita encontra-se a SMARTFENSE como plataforma de sensibilização, a lançar campanhas de forma constante.

À medida que a velocidade do jogo acelera, vemo-nos a correr para gerar conteúdo e ministrá-lo. Isto acontece de forma reativa e, muitas vezes, perante a vorágine do jogo (e do nosso trabalho como CISOs), damo-nos conta de que não o estamos a fazer de forma eficaz nem eficiente. E este jogo, que dura apenas 90 segundos, deixa-nos exaustos…

Análise dos resultados

Só ao terminar a partida poderemos comparar os custos de cada uma das alternativas. As mesmas que temos na vida real enquanto CISO da nossa organização…

Ecrã de resultados de RUN CISO RUN a comparar inação, o CISO e a SMARTFENSE

À esquerda pode ver-se que, no caso da inação, o investimento em sensibilização em segurança da informação para os utilizadores finais foi obviamente nulo, mas, infelizmente, as ameaças foram implacáveis, levando-nos a gastar esse dinheiro poupado, e muito mais, na remediação.

À direita atuou a SMARTFENSE. Por ser uma plataforma de sensibilização que nos permite programar campanhas de acordo com o programa de awareness desenhado, assegura que se geram hábitos seguros nos utilizadores com um investimento baixo. Desta forma, é possível diminuir o risco de phishing, spear phishing e ransomware.

Os resultados no ecrã do meio dependerão de como o fizemos nós, se poupámos ou investimos, e da nossa capacidade de resposta às condições externas. Neste caso, destacamos que não é fácil pensar quando agimos de forma reativa à situação que se nos apresenta, e também não sabemos os efeitos até o jogo terminar (ou o ano, no caso da nossa organização).

É possível “vencer” a SMARTFENSE?

No videojogo, sim, uma vez que está concebido para que as ameaças sejam lançadas aleatoriamente, pelo que é normal que a instância da direita, onde está a SMARTFENSE, também receba ataques (como pode acontecer na vida real). A situação do meio depende de nós, pelo que dependerá da experiência de cada um encontrar a forma de investir o menos possível em formação e, além disso, travar grande parte das ameaças. Para isso precisamos de muitas tentativas de prática (ou anos, na vida real). Ainda assim, estaríamos a correr o tempo todo… é isso que queremos?

Foi essa a pergunta que fiz a mim próprio há já vários anos e a resposta foi um ”não” rotundo. De facto, foi o motivo pelo qual criámos a SMARTFENSE. Para quem não sabe, há vários anos encontrava-me a trabalhar como CISO e passava a vida a correr sem saber o quão eficaz era o nosso esforço. Ao aperceber-nos disto, notámos que, no melhor dos casos, alcançar um programa de sensibilização com uma qualidade e eficiência aceitáveis iria levar-nos anos. E, no final, iríamos tornar-nos peritos em algo que poderia ter sido subcontratado desde o início, com muito melhor qualidade, eficácia e controlo.

Tendo em conta o anterior, a escassez de pessoal de cibersegurança e sabendo que muitos outros CISOs na Ibero-América se encontravam na mesma situação, decidimos deixar de nos queixar e agir, neste caso criando uma plataforma de sensibilização específica.

Nos inícios da nossa empresa também detetámos que a grande maioria dos CISOs estava sobrecarregada de tarefas e, por mais simples que fosse a solução, em muitos casos não encontravam tempo sequer para a implementar. É por esse motivo que encontrámos o aliado perfeito nos partners que entregam valor acrescentado, acompanhando-os não só na implementação e na resolução de problemas, mas também no estabelecimento da linha de base, na programação, na analítica e na criação e adequação de conteúdos específicos. Hoje em dia é-nos difícil pensar em trabalhar sem esse contributo de valor, já que cada organização que queira gerar hábitos seguros nos utilizadores finais precisa de um diagnóstico preciso e de uma mensagem adaptada à sua realidade, e é por isso que o partner integrador desempenha um papel fundamental.

Conclusões finais

Embora o jogo trate da sensibilização de utilizadores, cada CISO depara-se com esta situação diariamente em várias frentes, pelo que esperamos que o jogo possa ajudar a fazer essa retrospetiva e pensar no que querem da sua área de cibersegurança e da sua qualidade de vida.

Mauro Graziosi

Experto en Seguridad de la Información, fundador y CEO de SMARTFENSE. Cuenta con 20 años de trayectoria en ciberseguridad. A lo largo de su carrera profesional generó diferentes proyectos enfocados siempre en la ciberseguridad y la educación a distancia. En 2016 fundó SMARTFENSE con la misión de satisfacer los requisitos y urgencias de los CISOs de Iberoamérica, obteniendo el Primer Premio del programa Cybersecurity Ventures 2018 del INCIBE. Su objetivo personal es convertir a los usuarios en un componente clave de la estrategia de ciberseguridad de las organizaciones a través de la concienciación.

Deixe um comentário