Conscientização de segurança da informação: por que fazer?
A conscientização de segurança da informação pode ser o método mais eficiente de prevenção de ataques. Entenda por que e como fazer na sua empresa!
Se a sua empresa ainda não enxerga a conscientização de segurança da informação como uma das principais armas contra ameaças, talvez seja hora de mudar esse conceito. Os usuários podem ser responsáveis por manter ou colocar em risco todo o trabalho de segurança realizado pela equipe de TI.
É claro que tecnologias de proteção como antivírus, firewall, proteção de e-mail, proteção de end-point e outras devem estar presentes na rede, nos servidores e nos dispositivos de qualquer empresa. Porém, isso não quer dizer que sua empresa estará completamente protegida por elas.
Sem a conscientização de segurança da informação, o negócio ainda está em risco e a chance de vazamentos ou perda de dados da empresa, dos funcionários e dos clientes é grande. A seguir, vamos te explicar por que ela é tão importante e o que fazer para garantir a conscientização de segurança da informação.
A origem dos incidentes: por onde eles começam?
Frequentemente, os incidentes relacionados à segurança começam dentro da empresa. As ameaças vindas de funcionários, chamadas de Insider Threats, não são incomuns. Em um caso famoso, o engenheiro Anthony Levandowski, ex-funcionário da Alphabet (empresa ligada à Google), foi acusado de roubar mais de 14 mil arquivos confidenciais sobre carros autônomos e levar para a sua startup, que logo depois foi comprada pela Uber.
O fato é que funcionários podem, de maneira proposital ou inconsciente, causar o vazamento de arquivos, dados financeiros, informações de colaboradores, segredos industriais e assim por diante. Portanto, a conscientização de segurança da informação é a única maneira de mostrar a eles os riscos e as possíveis consequências das suas ações.
Conscientização de segurança da informação: por que é importante?
Como vimos, a conscientização de segurança da informação tem papel fundamental na prevenção de incidentes. Usuários são a parte mais fraca da rede de segurança e se eles não estiverem conscientes e atentos, há grandes chances de todo o sistema estar em risco.
Quando os usuários são ensinados a detectar sinais de phishing, proteger suas senhas pessoais, não compartilhar arquivos de propriedade da empresa, entre outras boas práticas, eles passam a atuar junto com a equipe de TI para minimizar as ameaças.
Ao contrário, se eles não têm ideia sobre os riscos ou as consequências de atitudes irresponsáveis, podem colocar a perder todo o trabalho de proteção já realizado. Por isso, é fundamental criar campanhas e treinamentos frequentes.
Campanha de conscientização de segurança da informação: como fazer?
As campanhas de conscientização de segurança da informação sempre devem partir de um objetivo claro. Qual será o foco da campanha? O que se espera que os funcionários tenham aprendido ao final dela?
Também é dever da equipe de segurança definir uma Política de Segurança da Informação com base na criticidade dos dados e vulnerabilidades da empresa. Ela deve ser clara, objetiva e de fácil entendimento por todos. As campanhas e treinamentos devem enfatizar o conteúdo dessa política e destacar normas e procedimentos estabelecidos por elas.
Por fim, campanhas de conscientização de segurança da informação só funcionam se toda a equipe de segurança e TI estiver engajada. Esse é o time que vai liderar as boas práticas e servir como exemplo para os demais.
Quais as melhores práticas de segurança para ensinar à equipe?
Por fim, podemos falar de melhores práticas a serem ensinadas para as equipes. Confira 7 formas de garantir mais segurança!
1. Nunca compartilhar senhas
O compartilhamento de senhas não deve ser feito mesmo entre colegas de trabalho que são próximos. Os usuários e senhas são individuais e toda a equipe precisa saber que manter a senha em segredo é o primeiro passo para não se envolver em nenhum incidente.
2. Verificar e-mails e remetentes
O phishing é uma forma muito comum de atacar empresas e, se bem-sucedido, pode gerar grandes prejuízos. Para evitá-lo, os passos fundamentais são: checar os remetentes, verificar o conteúdo do e-mail e ter cuidado com anexos.
3. Reportar à equipe de segurança qualquer atividade suspeita
Mesmo com filtros antivírus e spam, firewalls e outras tecnologias, pode ser que alguma tentativa de ataque ainda chegue aos funcionários. Por isso, eles devem criar o hábito de reportar qualquer comunicação suspeita à equipe de segurança.
4. Utilizar a internet de forma consciente
A equipe de segurança pode e deve bloquear determinadas páginas que são consideradas de alto risco e que podem facilitar o vazamento de dados ou a ocorrência de incidentes. Porém, também cabe aos usuários aprender a usar a internet de forma consciente e com bom senso.
5. Ter cuidado com dispositivos móveis
Eles já fazem parte da rotina de muitas empresas e infelizmente podem se transformar em grandes fontes de vazamentos. Treine a sua equipe para usar os smartphones de maneira responsável, sem armazenar ou divulgar fotos, arquivos e dados da empresa.
6. Não falar sobre dados confidenciais em público
Pode parecer óbvio, mas muitos colaboradores falam em locais públicos sobre a empresa e acabam dando margem para especulações. Oriente os colaboradores a prestarem atenção no ambiente ao redor quando precisarem discutir assuntos corporativos fora da empresa.
7. Seguir as políticas determinadas pela equipe de TI
Finalmente, não custa lembrar constantemente aos usuários sobre as políticas determinadas pela equipe de TI e sobre a importância de cumprir cada uma delas.
Você, como diretor, gestor ou gerente de TI também terá papel importantíssimo na conscientização de segurança da informação. Comece pela sua equipe, dê o exemplo e inspire todos os colaboradores a se engajarem na busca por um negócio livre de ameaças de segurança.
Você já faz algo nesse sentindo? Como organiza campanhas de conscientização de segurança da informação na sua empresa? Escreva um comentário e compartilhe suas experiências! Se precisar de apoio entre em contato conosco e garanta mais segurança para seus dados.