Programa de treinamento de segurança usa gamificação para mudar o comportamento do colaborador na Aduno Group

Colaboradores: primeira linha de defesa

Como um fornecedor de serviços financeiros, a Aduno Group enfrenta uma grande pressão para proteger seus dados, uma vez que qualquer brecha pode ter implicações imediatas e duradouras para o negócio.

Dado que os colaboradores representam a primeira linha de defesa, a organização procurou a DXC Technology para ajudar a melhorar a conscientização de segurança da informação e fundi-la com a cultura corporativa de um modo sustentável.

A DXC Technology, que fornece aos clientes uma ampla gama de serviços de gerenciamento de risco, propôs um programa multifacetado que emprega gamificação e incentiva os funcionários a se engajarem ativamente na conscientização de segurança. As atividades não se parecem com um treinamento, o que é essencial para consolidar, de fato, uma mudança significativa.

O programa de treinamento é hospedado na intranet da Aduno Group e consiste em vídeos e tarefas (quests, como em jogos de RPG). Os colaboradores ganham pontos ao completar tarefas e o progresso é medido em um painel de ranqueamento das melhores pontuações. Novas tarefas são postadas a cada três meses.

Criando uma campanha de conscientização

A Aduno Group tomou esta decisão porque tanto os estudos quanto a experiência mostraram que os funcionários precisavam de uma atualização sobre as políticas de segurança existentes e o propósito delas. Além disso, faltavam instruções práticas de como se adequar a essas políticas.

“Geralmente, a falta de conhecimento sobre o conteúdo e a falta de entendimento do sentido e do propósito das políticas de segurança, é a razão principal pela qual os incidentes ocorrem”, descreve Thomas Müller, chefe da segurança e estratégia de plataforma aberta da Aduno Group. “Por isso, a campanha visa aumentar a conscientização sobre a segurança da informação e ancorá-la de forma sustentável na cultura corporativa.”

Com o aval do CEO e de todo o conselho executivo, um time multidisciplinar foi formado com a DXC. Profissionais de TI e segurança da informação, comunicação corporativa, desenvolvimento organizacional/recursos humanos, do setor jurídico, de compliance e de serviços de operações colaboraram para desenvolver e implementar o programa. “Uma campanha de conscientização faz parte da comunicação interna e, portanto, deve ser ancorada dentro da companhia,” escreve Müller.

O objetivo da campanha é educar funcionários sobre como criminosos cibernéticos operam, para que eles possam tomar decisões acertadas de forma consciente sobre as questões de segurança que aparecem em situações de trabalho cotidianas. O foco é comunicar os riscos e seus potenciais impactos dentro da empresa.

Perseguindo o fantasma

O núcleo do programa que a Aduno Group construiu junto com a DXC gira em torno de atividades (quests) envolvendo um “Fantasma” fictício, que representa os cibercriminosos tentando conseguir acesso aos dados da empresa. Os funcionários, chamados de “PhantomBusters” (Caçadores de Fantasma, em português), aprendem, ao ter acesso à visão do Fantasma, como os cibercriminosos pensam e agem, e qual papel podem tomar ao contra-atacar os esforços do Fantasma.

Cada quest é focada em um tópico, como phishing ou o manejo de dados sensíveis. O jogo começa com um vídeo curto, de dois a três minutos, e depois apresenta três perguntas. Os funcionários ganham pontos quando respondem corretamente, e seus resultados são computados. Um placar de líderes contabiliza as pontuações mais altas.

Se metade de todos os colaboradores responder às questões de forma correta, e se todos conseguirem um certo número de pontos, eles capturam o Fantasma daquela quest. O trabalho em equipe é importante, já que o programa é voluntário. Por isso, a proposta é que os funcionários encorajem outros a completar a quest. Colaboradores que queiram adentrar em um certo tópico podem acessar uma base de conhecimento mantida na intranet.

A Aduno Group já publicou sete quests até agora e novas quests são publicadas uma vez a cada trimestre. É um processo contínuo, porque é preciso ter um diálogo para mudar o comportamento, escreve Marcus Beyer, advisory lead for resilient workforce na DXC.

Para divulgar o programa, figuras do Fantasma feitas de cartolina em tamanho real foram espalhadas no prédio da Aduno Group, além de serem feitos sorteios, adesivos, panfletos, apresentações e artigos na revista dos funcionários e na intranet.

Participação ativa

Dado que o objetivo do programa é mudar fundamentalmente a cultura de segurança de forma positiva, os resultados podem ser difíceis de serem medidos. No entanto, o programa PhantomBuster tem alta visibilidade em toda a companhia, os colaboradores estão ativamente envolvidos e gostam de participar. O trabalho tem sido um grande sucesso.

“O Programa de Conscientização de Segurança foi recebido muito positivamente pelos funcionários,” escreve Müller. “Isto certamente é por conta do fato de que ele é diferente de todas as medidas anteriores no quesito de segurança da informação. E isso definitivamente é o que importa.” A empresa viu rapidamente seus colaboradores abraçarem uma cultura de segurança no futuro, que é caracterizada por:

• Comportamento seguro consciente conforme os riscos se tornam conhecidos
• Ação consciente em situações do cotidiano do trabalho
• Fluxo de informação ativo, conscientização de risco ampliada e estabelecimento de uma “cultura de erro” que reconhece que falhas acontecem, mas você pode aprender com elas e compartilhar o conhecimento obtido

Os serviços de consultoria da DXC também ajudaram a Aduno Group a perceber que alguns grupos dentro da companhia precisavam de diferentes abordagens para o treinamento de conscientização de segurança e, se necessário, de instrução especial. Estes grupos incluem: recepção/call center/contato com cliente; desenvolvimento de produto/gerenciamento de projeto; equipe de TI; departamento e líderes de time; equipe de vendas/gerenciamento de vendas; e funcionários em home office.

O programa para a Aduno Group se beneficiou fortemente da vasta experiência da DXC em efetuar mudanças culturais de longo prazo através de campanhas integradas e completas de comunicação interna. Aliás, a DXC e a Aduno Group recentemente ganharam dois prêmios por este programa — um na Suíça e outro na Europa Central para países onde o alemão é reconhecido como língua oficial.

Entre em contato para saber mais sobre os serviços de Gerenciamento de Risco da DXC.