Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Home  >  Segurança

É hora de repensar a criação de uma cultura sobre segurança cibernética

Para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios

Matheus Assis Baeta*

20/03/2019 às 8h16

ciberseguranca
Foto: Divulgação

Milhares de artigos sobre segurança cibernética apontam que as pessoas desempenham um papel tão importante na prevenção de violações de dados quanto a tecnologia. Na verdade, de acordo com o estudo "O Custo de uma Violação de Dados", do Instituto Ponemon, 27% das violações de dados em 2018 foram causadas por erro humano. Então, é claro que é importante envolver as pessoas em qualquer tipo de estratégia de defesa.

O mais complicado é que, como aprendemos com a lenta absorção da transformação digital, levar as pessoas a mudar é um desafio. Isso não pode ser feito simplesmente dizendo "tenha mais cuidado" ou "bloqueie seu computador". Em vez disso, para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios.

"Não é simplesmente sobre uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo."

O que é cultura?

Segundo o dicionário, cultura é “o conjunto de atitudes, valores, objetivos e práticas compartilhados que caracterizam uma instituição ou organização”. Não se trata simplesmente de uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo. E não é simplesmente sobre o que fazemos. É também sobre como pensamos sobre as coisas que fazemos.

Então, se dividirmos nossos esforços para transformar a participação da empresa na segurança cibernética, devemos examinar cada uma dessas áreas e começar a pensar sobre o papel que elas desempenham na criação de uma cultura de segurança.

Mudando atitudes sobre segurança cibernética

Se quisermos mudar as atitudes em relação à segurança cibernética, precisamos remover as mentiras e acentuar os verdadeiros componentes de risco.

Uma mentira comum é que “a cibersegurança é trabalho da TI”. Com muita frequência, as pessoas ouvem sobre segurança cibernética e pensam instantaneamente em e-mail e internet - e é claro que é tecnologia, portanto a TI consertará. Essa é uma atitude que precisa mudar. As pessoas precisam entender o papel que desempenham na proteção da organização.

Outro conceito que deve mudar é que "isso nunca irá acontecer comigo". Isso simplesmente não é verdade. Um ataque pode acontecer a qualquer pessoa em qualquer organização. As pessoas precisam entender como esses ataques funcionam e precisam começar a ouvir as estatísticas sobre como eles são comuns:

  • 91% do tempo, e-mails de phishing estão por trás de ataques cibernéticos. As pessoas sabem o que é um ataque de phishing?
  • Criminosos nem sempre buscam informações financeiras. Eles estão atrás de muitos logins comumente usados/ informações de conta. As pessoas guardam todas as informações da conta da mesma forma?
  • Incidentes de malware móvel estão crescendo. Eles estão acima de 54%. As pessoas consideram mesmo os seus smartphones e tablets como um perigo?
  • Houve 22,41 milhões de registros expostos somente nos Estados Unidos até 2018. Sim, isso pode acontecer com qualquer pessoa.

"Lideranças em todas as linhas de negócios devem compreender a importância da segurança cibernética e devem incentivar as pessoas a tomar ações apropriadas."

Mudando os valores relacionados à segurança cibernética

Quando falamos de valores, estamos falando de dar algo que vale a pena. Dando significado e importância às vidas daqueles que nos rodeiam. Então, se o "fator medo" não é suficiente para inspirar a ação, como darmos valor à segurança cibernética aos olhos de nossos funcionários?

Certamente, liderar pelo exemplo é fundamental. Tanto em termos de conversar a respeito, como de fornecer orçamento para os esforços da defesa cibernética. As lideranças em todas as linhas de negócios, devem compreender a importância da segurança cibernética e devem incentivar as pessoas a adotarem ações apropriadas. E, claro, elas devem fazer isso por si mesmas: você não pode dizer aos outros para alterarem suas senhas e, em seguida, reter as suas por 25 anos, porque é mais fácil assim.

Às vezes, porém, as pessoas precisam de algo mais antes de valorizar uma ideia. Pense em um esporte em que você participa e valoriza. Você falando sobre suas realizações em campo e celebrando os sucessos com sua equipe, pode encorajar outra pessoa a experimentá-lo e apoiá-lo.

O mesmo é necessário em iniciativas de segurança cibernética. As pessoas devem ser regularmente encorajadas e lembradas sobre o quão importante é o seu papel. Elas devem ser elogiadas pelo esforço dedicado. Elas precisam ser reconhecidas quando levantarem uma bandeira vermelha, admitirem um erro ou mesmo seguirem as políticas.

Mudando as metas relacionadas à segurança cibernética

Todos os objetivos são medidos para serem bem-sucedidos, mas como você mede a conscientização e a compreensão em torno desse problema? Lembre-se de que se trata de mudar a cultura e, por isso, você não quer usar KPIs técnicos testados e comprovados, como número de incidentes ou custo por incidente.

Em vez disso, pense em como avaliar o envolvimento dos funcionários:

  • As pessoas estão lendo as informações que você fornece? Que tipo de taxas de cliques você recebe? Taxas de abertura?
  • Eles estão concordando com políticas e procedimentos? Quantos entregaram uma cópia assinada da política? Quantos treinamentos concluídos?
  • Os funcionários estão realmente mais conscientes de seu papel na segurança cibernética? Talvez os pesquise anualmente para descobrir o que eles sabem e não sabem.
  • O departamento de TI está recebendo mais solicitações para avaliar aplicativos / programas? Ou mais relatos de atividade suspeita?

E lembre-se de que uma mudança cultural precisa ser um esforço coletivo, por isso, não mantenha os números ocultos. Você pode até celebrar um pouco o esforço: “Olá a todos, estivemos com 85% de conscientização no ano passado. Vamos ver se conseguimos atingir 92% este ano! A primeira pessoa a entregar sua pesquisa recebe um prêmio! ”

"Bloqueie a tela dos dispositivos quando você os deixar sem supervisão."

Mudando práticas que impactam a segurança cibernética.

E, claro, há todos os componentes práticos necessários para realizar o trabalho. Práticas são todas as dicas e truques usados ​​para combater violações de dados:

  • Verificar os antecedentes das novas contratações
  • Implementar treinamento
  • Incorporar um defensor da segurança cibernética em cada equipe / grupo
  • Implementar backups automáticos e / ou fornecer dispositivos de backup
  • Forçar alterações de senha
  • Adotar software de atualização automática
  • Usar criptografia
  • Fornecer dispositivos móveis da empresa
  • Investir em um serviço de destruição de documentos ou trituradores
  • Limpar arquivos desatualizados
  • Garantir a segurança física de Laptops e dispositivos
  • Bloquear a tela dos dispositivos quando você os deixar desacompanhados

O ponto principal aqui é que é preciso mais do que apenas uma lista de verificação das melhores práticas para agilizar a criação de uma cultura de conscientização sobre segurança cibernética. É preciso que todos os componentes da cultura trabalhem juntos e se concentrem na mudança para proteger sua organização.

*Matheus Assis Baeta é diretor da OTRS Brasil

Snippets HTML5 default Intervenções CW

Este anúncio desaparecerá em:

Fechar anúncio

15