Treinamento de Conscientização sobre Segurança da Akamai

Na Akamai, a conscientização e o treinamento sobre segurança são um processo contínuo que começa no primeiro dia para a maioria dos funcionários. O que segue é um resumo do programa, seguido pelas experiências de treinamento pessoal de um funcionário.

Treinamento de Conscientização sobre Segurança da Akamai

Finalidade:

Além dos esforços educacionais tradicionais, a Akamai reconhece que a discussão e a priorização das informações de segurança aumentam a conscientização sobre a segurança.

Escopo:

Essa política se aplica a toda a equipe da Akamai. 

Política:

Os funcionários recebem treinamento geral em segurança no primeiro mês e, depois, anualmente. Durante a orientação do primeiro dia, novos contratados recebem uma visão geral de 40 minutos sobre os procedimentos de segurança da Akamai, fornecida ao vivo por membros da Akamai InfoSec.

Funções e Responsabilidades:

Todos os funcionários devem reconhecer, anualmente, o recebimento do Programa de Segurança de Informações da Akamai e a disponibilidade de treinamento adicional. O treinamento adicional é disponível primariamente na forma de apresentação por vídeo e documentação. O grupo de Segurança de Informações controla os reconhecimentos do funcionário e assegura que a taxa de reconhecimento de funcionário da Akamai esteja acima de 96% em todos os momentos. 

O Gerenciamento de Produto garante que os requisitos de segurança sejam discutidos como um componente principal de todas as principais versões do produto e que dados do titular do cartão e outros dados confidenciais sejam protegidos em todas as soluções de acordo com padrões de segurança relevantes.

A Gerência Executiva analisa rotineiramente vários aspectos da postura de segurança da Akamai, incluindo:

  • O progresso realizado na identificação e correção dos riscos de segurança e vulnerabilidades; 
  • Oportunidades para comunicação em toda a empresa para reforçar as práticas de segurança e a conscientização; e 
  • Outros aspectos da segurança corporativa contínua da Akamai e a presença no setor de segurança de rede. 

Estudo de caso:

O que segue é a consideração em primeira pessoa do funcionário da Akamai Bill Brenner sobre como é participar do treinamento em segurança da Akamai. Como Gerente Sênior de Programas, Brenner recebe a tarefa de contar a história de segurança da Akamai através de artigos, podcasts, vídeo, blogs e outras mídias.

Embora eu tenha escrito sobre a InfoSec durante a última década, eu ainda tenho meus momentos de vergonha. No ano passado, houve um momento que eu caí num dos truques mais antigos de engenharia social, clicando no link de uma mensagem direta do Twitter na qual alguém com quem eu trabalha perguntava se eu havia visto a publicação desagradável que alguém havia escrito sobre mim. A conta de seu colega no Twitter havia sido roubada e mensagens semelhantes foram enviadas a seus contatos. No momento que cliquei no link, sabia que acabara de ter feito algo que poderia comprometer minha conta e minhas máquinas.

Foi uma história semelhante à que ocorreu alguns anos atrás quando eu cliquei no link para um site de ficção científica que recebi por e-mail por alguém que se passava por um velho amigo. Quinhentos novos malwares foram transferidos para meu laptop naquele dia, principalmente coisas que criam adware para pornografia e janelas pop-up do tipo pump-and-dump de ações sobre toda a tela. Passei várias horas limpando a bagunça e o pessoal do escritório deu muita risada às minhas custas. 

Em ambos os casos, eu não havia tido treinamento em segurança nas empresas nas quais trabalhei, embora eu devesse saber mais como um escritor de histórias sobre segurança. Em termos de conscientização sobre segurança na empresa, recebemos avisos de segurança na iminência de um ataque, mas nunca recebemos uma lição sobre as melhores práticas básicas.

No meu primeiro dia na Akamai, quase uma hora de orientação foi dedicada ao assunto. Eu já tinha escrito sobre a importância de treinamento em segurança para os funcionários várias vezes ao longo dos anos, mas esta foi a primeira vez que eu recebi.

Treinamento em segurança no mundo dos negócios não é algo que se pode fazer com uma abordagem igual para todos. Diferentes empresas têm necessidades diferentes, e a Akamai não é exceção. Lidamos com especificidades que não discutirei aqui. Mas, muitas das orientações são básicas e aplicáveis em qualquer empresa e qualquer setor. 

Por exemplo: 

Somos informados de que podemos utilizar o aplicativo de mensagens instantâneas de nossa preferência para nos comunicarmos com amigos e família. Mas, para qualquer comunicação interna relacionada ao trabalho, devemos utilizar uma ferramenta de mensagens instantâneas específica separada uma que apresente proteções adicionais. 

Temos um calendário de rotina para liberação de patches de segurança para vários programas e, ocasionalmente, veremos uma caixa aparecendo na tela, solicitando o pressionamento de um botão para instalação de novas atualizações. Na sessão de treinamento, é esclarecido que devemos prestar atenção aos momentos de atualização. Também somos orientados a fazer atualizações de uma fonte autorizada. Janelas pop-up em uma tela podem ser perigosas.

Se deixarmos nossos computadores sem supervisão, devemos bloquear a tela para que outros não acessem nossos dados e aplicativos. No meu segundo dia, eu levantei da mesa com vários aplicativos sendo executados em minha máquina; quando voltei, encontrei um bilhete no monitor dizendo "Protetores de tela seriam incríveis".

Falando em bilhetes, outra orientação que recebemos é nunca deixar bilhetes com nossas senhas ou outros dados de autorização escritos.

Se percebemos que alguém está tentando entrar no edifício ou em outra área protegida sem um crachá, seremos responsáveis por garantir que essa pessoa seja apropriadamente identificada por nós, nosso grupo de segurança corporativa ou qualquer uma de nossas ferramentas de autenticação (incluindo colegas de trabalho, diretórios de funcionários etc.). 

Há muito detalhes adicionais que entram em nosso programa, mas esses são alguns bons exemplos sobre as noções básicas itens que resultariam em benefícios a outras empresas.