Páginas

setembro 10, 2020

[Segurança] Os principais elementos da cultura de segurança

Uma notícia recente mostrou a todos a importância de ter funcionários alinhados com a empresa e ajudando a protegê-la contra ciber ataques: um funcionário da Tesla recusou uma oferta de 1 milhão de dólares, recebida de um espiÃo russo, para instalar um malware na rede da empresa, com um pen-drive.

Aproveitando esse tema, eu quero destacar um artigo interessante que li recentemente no portal TechTarget, que indicou "os 7 elementos de uma cultura de ciber segurança na empresa".

A criação de uma cultura de ciber segurança visa preparar os funcionários da corporação para se protegerem de ciber ataques. Quanto mais preparados forem os funcionários, menor a chance de serem explorados por alguma ameaça (na vida profissional e pessoal também). No mundo de segurança, isso ganhou uma buzzword:


Human Firewall

Cada funcionário acaba se tornando um aliado do time de segurança, apoiando as ações da empresa e rapidamente reportando qualquer potencial problema ou comportamento suspeito.

O artigo da TechTarget destaca uma lista com 7 elementos essenciais, a seguir:

  1. Liderança - sim, é fundamental que a liderança da empresa respeite, divulgue e dê o exemplo quando se trata das boas práticas de segurança. Não basta um texto na Intranet escrito pelo time de marketing e assinado pelo CEO. Os executivo e gestores tem que dar o exemplo diariamente, mostrando preocupação com a segurança da empresa, discutindo o assunto nos seus times e estimulando os funcionários a participar de treinamentos, entre outras coisas. A propósito, os executivos também devem participar dos treinamentos! Isso mostra para os demais funcionários, na prática, o comprometimento deles com o tema;
  2. Representantes em diversos times - um fator chave para espalhar a cultura de segurança em uma grande empresa é ter pessoas dentro dos demais times representando os interesses e preocupações de segurança no dia-a-dia de seu time. Eles podem ser chamados de vários nomes, tais como "embaixadores de segurança", "security champions", etc. Eles ajudam a identificar riscos e oportunidades de melhoria nas atividades do dia-a-dia, e fazer uma ponte entre os demais funcionários e o time de segurança;
  3. Educação constante - a empresa deve possuir uma estratégia de educação sobre os riscos e boas práticas de segurança, incluindo treinamentos, palestras, vídeos, artigos, notas, etc. Mecanismos de educação podem incluir exemplos reais, atualizados, guias práticos (como usar as ferramentas, como notificar incidentes, etc) e melhorias constantes, aproveitando o feedback dos colaboradores. Mas cuidado, pois educação constante não significa que devemos insistir no assunto com grande frequência: o desafio é manter os funcionários interessados pelo assunto, sem excessos;
  4. Relevância para os funcionários - a conscientização deve ser personalizada, direcionada as responsabilidades e necessidades de cada grupo de funcionários e integrado com seu trabalho.  O esforço de educação também deve levar em consideração a realidade de cada público (o tipo de mensagem, o meio, a linguagem utilizada, etc);
  5. Atitudes e comportamentos - As pessoas devem ser motivadas a encarar a segurança de uma forma positiva, como aliada. Os funcionários devem se sentir parte da solução, e não do problema. Quando conseguimos influenciar positivamente as atitudes e comportamentos, as boas práticas de segurança são exercidas naturalmente pelos funcionários;
  6. Ecossistema - Um fator importante é levar em consideração todo o ambiente interno e externo, incluindo o cenário externo de ameaças;
  7. Métricas - Um fator de sucesso é construir um programa robusto de métricas, para identificar os esforços realizados e seu impacto na postura de segurança das pessoas e organizações. Nesse momento, a gamificação é sempre lembrado, pois além de motivar, cria algumas métricas naturalmente durante o processo educacional. Pegando um exemplo bem simples e recorrente, é interessante avaliar a porcentagem de colaboradores que clicam em uma simulação de phishing antes e depois de terem realizados um treinamento sobre o assunto.
A lista está de acordo com a realidade de mercado. Muito do que foi citado acima também pode ser encontrado nessa pequena lista de 3 dicas para criar uma cultura de segurança elaborado por pesquisadores do MIT. O diagrama abaixo, também da TechTarget, também sumariza um pouco os pontos acima.



Mesmo nos tempos de pandemia, quarentena e home office, a cultura de segurança continua sendo um fator muito importante dentro da estratégia de segurança. Afinal, os colaboradores tem que manter seus hábitos de proteção mesmo longe da empresa e sem o contato diário com seus colegas e com o time de segurança.

Para saber mais:

Nenhum comentário:

Postar um comentário