Uma notícia recente mostrou a todos a importância de ter funcionários alinhados com a empresa e ajudando a protegê-la contra ciber ataques: um funcionário da Tesla recusou uma oferta de 1 milhão de dólares, recebida de um espiÃo russo, para instalar um malware na rede da empresa, com um pen-drive.
Aproveitando esse tema, eu quero destacar um artigo interessante que li recentemente no portal TechTarget, que indicou "os 7 elementos de uma cultura de ciber segurança na empresa".
A criação de uma cultura de ciber segurança visa preparar os funcionários da corporação para se protegerem de ciber ataques. Quanto mais preparados forem os funcionários, menor a chance de serem explorados por alguma ameaça (na vida profissional e pessoal também). No mundo de segurança, isso ganhou uma buzzword:
Cada funcionário acaba se tornando um aliado do time de segurança, apoiando as ações da empresa e rapidamente reportando qualquer potencial problema ou comportamento suspeito.
O artigo da TechTarget destaca uma lista com 7 elementos essenciais, a seguir:
- Liderança - sim, é fundamental que a liderança da empresa respeite, divulgue e dê o exemplo quando se trata das boas práticas de segurança. Não basta um texto na Intranet escrito pelo time de marketing e assinado pelo CEO. Os executivo e gestores tem que dar o exemplo diariamente, mostrando preocupação com a segurança da empresa, discutindo o assunto nos seus times e estimulando os funcionários a participar de treinamentos, entre outras coisas. A propósito, os executivos também devem participar dos treinamentos! Isso mostra para os demais funcionários, na prática, o comprometimento deles com o tema;
- Representantes em diversos times - um fator chave para espalhar a cultura de segurança em uma grande empresa é ter pessoas dentro dos demais times representando os interesses e preocupações de segurança no dia-a-dia de seu time. Eles podem ser chamados de vários nomes, tais como "embaixadores de segurança", "security champions", etc. Eles ajudam a identificar riscos e oportunidades de melhoria nas atividades do dia-a-dia, e fazer uma ponte entre os demais funcionários e o time de segurança;
- Educação constante - a empresa deve possuir uma estratégia de educação sobre os riscos e boas práticas de segurança, incluindo treinamentos, palestras, vídeos, artigos, notas, etc. Mecanismos de educação podem incluir exemplos reais, atualizados, guias práticos (como usar as ferramentas, como notificar incidentes, etc) e melhorias constantes, aproveitando o feedback dos colaboradores. Mas cuidado, pois educação constante não significa que devemos insistir no assunto com grande frequência: o desafio é manter os funcionários interessados pelo assunto, sem excessos;
- Relevância para os funcionários - a conscientização deve ser personalizada, direcionada as responsabilidades e necessidades de cada grupo de funcionários e integrado com seu trabalho. O esforço de educação também deve levar em consideração a realidade de cada público (o tipo de mensagem, o meio, a linguagem utilizada, etc);
- Atitudes e comportamentos - As pessoas devem ser motivadas a encarar a segurança de uma forma positiva, como aliada. Os funcionários devem se sentir parte da solução, e não do problema. Quando conseguimos influenciar positivamente as atitudes e comportamentos, as boas práticas de segurança são exercidas naturalmente pelos funcionários;
- Ecossistema - Um fator importante é levar em consideração todo o ambiente interno e externo, incluindo o cenário externo de ameaças;
- Métricas - Um fator de sucesso é construir um programa robusto de métricas, para identificar os esforços realizados e seu impacto na postura de segurança das pessoas e organizações. Nesse momento, a gamificação é sempre lembrado, pois além de motivar, cria algumas métricas naturalmente durante o processo educacional. Pegando um exemplo bem simples e recorrente, é interessante avaliar a porcentagem de colaboradores que clicam em uma simulação de phishing antes e depois de terem realizados um treinamento sobre o assunto.
Nenhum comentário:
Postar um comentário