04 passos para criar a cultura de Segurança da Informação em sua empresa
Todo mundo sabe como as melhores práticas da aplicação de segurança da informação é crucial e como ela deve fazer parte de qualquer estratégia desenvolvida por uma empresa.
Uma simples olhada diária nas notícias já traz ideias sobre os riscos crescentes que a violação de dados representa tanto para grandes como pequenas e médias organizações.
Mas o que tem causado tantos ataques? É fato que, à medida que a tecnologia evolui para fornecer novos e melhores serviços a diferentes mercados, ela também evolui para os cibercriminosos.
Os ataques estão mais sofisticados e qualquer negócio deve estar atento às suas vulnerabilidades em seus sistemas para se proteger.
Contudo, uma das principais vulnerabilidades está onde menos se espera: no time da empresa. A forma como todos os funcionários da organização lidam e protegem os dados é tão importante quanto ter sistemas antivírus ativo.
Mas como é possível tornar a segurança da informação uma cultura da empresa? Abaixo, separamos 04 passos essenciais para fazer com que o time da sua organização tome as decisões certas ao lidar com dados sensíveis!
1. Empregar a governança cibernética orientada pela liderança
Grandes mudanças em uma organização geralmente são melhor aceitas se começam pela direção. Por isso, é essencial certificar-se de que a diretoria da empresa esteja engajada com a iniciativa. Ela deve governar e nutrir ativamente a segurança da informação e estar pronta para comunicar a cultura ao restante da empresa.
Para conseguir isso, é recomendável que sejam feitas reuniões regulares entre executivos C-level e o líder de TI na empresa, que deverá informar sobre questões de segurança da informação, como o quanto a empresa usa a tecnologia existente para mitigar ameaças e como a empresa se beneficiará de novos investimentos nessa área.
As equipes de TI não podem mais ficar em silêncio; elas precisam explicar à alta administração por que a segurança é importante para os negócios e aconselhá-los sobre como melhorar a cultura de segurança da empresa.
Os gerentes de nível médio também desempenham um papel importante na condução da cultura de segurança, já que trabalham diretamente com os funcionários e podem mostrar a eles como se comportar de maneira centrada na segurança.
Primeiro, os gerentes devem liderar pelo exemplo e não violar a política de segurança. Se um gerente copiar arquivos confidenciais em um pendrive e levar para casa, os funcionários provavelmente pensarão “por que não?” e farão o mesmo.
Segundo, os gerentes devem tomar a iniciativa de explicar os fluxos de trabalho adequados se seus funcionários se comportarem mal e apresentarem riscos de segurança para a empresa.
Eles não precisam ser especialistas para explicar as regras básicas de segurança. Ter esses gerentes a bordo e usar sua autoridade apropriadamente será inestimável na efetivação de mudanças reais.
2. Documente claramente as políticas de segurança da informação
A política de segurança é a bússola da cultura de segurança da informação porque orienta o comportamento dos funcionários. Você deve criar pelo menos dois documentos.
O primeiro é a política de segurança oficial. Preparado pelo departamento de Tecnologia da Informação e assinado por todas as partes interessadas, ele especifica regras e procedimentos que todos que acessam os sistemas e ativos de TI da empresa devem seguir.
O outro é um documento informal criado pelos Recursos Humanos que explica a visão de segurança da empresa e destaca por que seguir as melhores práticas de segurança é importante para o crescimento dos negócios e de todos os funcionários.
Também é recomendável detalhar as consequências de não aderir à política: o funcionário pode acabar com uma reputação manchada, ter seu contrato rescindido ou até mesmo sofrer uma ação judicial. Esse detalhamento pode ser feito por meio de um documento separado ou parte de um existente, como um manual do funcionário.
Os gerentes de RH devem se certificar de que os novos contratados leiam a política de segurança no primeiro dia e que todos possam consultá-la facilmente a qualquer momento.
3. Investir no treinamento contínuo dos funcionários
O treinamento em segurança da informação pode parecer trabalhoso, mas é eficaz na promoção de uma cultura de segurança. Há uma variedade de tipos de treinamento disponíveis, desde apresentações tradicionais em PowerPoint conduzidas por um membro da equipe de TI até opções mais modernas.
Por exemplo, algumas empresas exigem que todos os recém-contratados passem por um treinamento em vídeo sobre segurança da informação que devem concluir antes de iniciar qualquer trabalho, o que pode reduzir também chamadas de TI para coisas básicas, como configurar uma senha ou e-mail.
Outra maneira de promover o comportamento centrado na segurança da informação é fazer jogos de role-playing, ou criação de cenários. Os funcionários analisam os casos relacionados à segurança e decidem como resolver certos problemas em alinhamento com a política da empresa.
Ao escrever cenários, é recomendável se concentrar em dois ou três dos principais riscos de TI que a sua empresa enfrenta, seja ransomware, abuso de privilégios, distribuição inadequada de dados confidenciais ou qualquer outra coisa.
Criar cenários substanciais e conduzir os jogos pode levar um pouco de tempo, mas esse tipo de treinamento pode ser muito eficaz, pois oferece uma estrutura viva e prática para aprender conceitos de segurança de TI. Os funcionários aprendem de maneira lúdica como seguir a política de segurança sem representar nenhum risco para a organização.
Certifique-se de adaptar o conteúdo de cada treinamento aos funcionários que o estiverem fazendo. Considere o departamento, nível de responsabilidade, conhecimento prévio, a que dados eles têm acesso e quais ferramentas estão usando.
Por exemplo, pessoas que não têm acesso a bancos de dados de clientes não precisam de treinamento sobre como trabalhar com eles de maneira segura.
Usar exemplos de como os funcionários de sua empresa violaram a política no passado e o que aconteceu com eles também pode ser eficaz, mas não deprecie os ofensores e, é claro, não divulgue nenhum nome.
No entanto, mostrar que as ameaças cibernéticas estão mais próximas do que se pode pensar é uma boa maneira de incentivar os funcionários a seguir as políticas de segurança.
A frequência do treinamento depende das suas necessidades e da curva de aprendizado de seus funcionários. Em geral, as organizações exigem que seus times atualizem os conhecimentos sobre regras de segurança regularmente, fazendo breves testes a cada 3-6 meses.
4. Incentive as pessoas a relatarem incidentes
Uma empresa é como uma comunidade na qual os funcionários podem contribuir para sua prosperidade sendo socialmente responsáveis. Para nutrir a responsabilidade pela segurança da informação, a gerência deve encorajar todos a relatar não apenas incidentes complexos, mas até mesmo pequenas coisas suspeitas que encontrarem.
A empresa deve fornecer uma maneira fácil de fazer isso; normalmente, entrar em contato diretamente com o departamento de TI deve ser suficiente. Ao incluir os funcionários nos relatórios, você identificará os problemas de segurança mais rapidamente e poderá responder com maior agilidade.
Também é recomendável que os gerentes reconheçam o membro da equipe que ajudou a detectar um problema, seja com um e-mail ou em uma reunião corporativa. Isso demonstra que todos são bem-vindos a fazer o mesmo porque a segurança da informação é importante para a empresa.
Construir uma cultura de segurança forte exige trabalho, mas é sem dúvida o caminho certo. Muitas organizações já estão trabalhando para fazer essa mudança cultural porque reconhecem que devem abordar a segurança da informação com o mesmo nível de envolvimento e responsabilidade que os riscos financeiros e outros.
O comprometimento de assumir a responsabilidade individual pela segurança gerará uma forte cultura de segurança em toda a organização, adicionando uma camada crítica de defesa e reduzindo os riscos de TI.
E você, já começou na sua empresa? Comente abaixo e compartilhe conosco e com nossos leitores como você faz para criar uma cultura de segurança da informação!