|
Matheus Assis Baeta, diretor da OTRS Brasil |
Para reduzir o risco de erro humano, os líderes corporativos
devem procurar transformar significativamente sua cultura de negócios.
Por *Matheus Assis Baeta
Milhares de artigos sobre segurança cibernética apontam que as pessoas desempenham um papel tão importante na prevenção de violações de dados quanto a tecnologia. Na verdade, de acordo com o estudo O Custo de uma Violação de Dados, do Instituto Ponemon, 27% das violações de dados em 2018 foram causadas por erro humano. Então, é claro que é importante envolver as pessoas em qualquer tipo de estratégia de defesa.
O mais complicado é que, como aprendemos com a lenta absorção da transformação digital, levar as pessoas a mudar é um desafio. Isso não pode ser feito simplesmente dizendo \"tenha mais cuidado\" ou \"bloqueie seu computador\". Em vez disso, para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios.
\"Não é simplesmente sobre uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo.\"
O que é cultura?
Segundo o dicionário, cultura é “o conjunto de atitudes, valores, objetivos e práticas compartilhados que caracterizam uma instituição ou organização”. Não se trata simplesmente de uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo. E não é simplesmente sobre o que fazemos. É também sobre como pensamos sobre as coisas que fazemos.
Então, se dividirmos nossos esforços para transformar a participação da empresa na segurança cibernética, devemos examinar cada uma dessas áreas e começar a pensar sobre o papel que elas desempenham na criação de uma cultura de segurança.
Mudando atitudes sobre segurança cibernética
Se quisermos mudar as atitudes em relação à segurança cibernética, precisamos remover as mentiras e acentuar os verdadeiros componentes de risco.
Uma mentira comum é que “a cibersegurança é trabalho da TI”. Com muita frequência, as pessoas ouvem sobre segurança cibernética e pensam instantaneamente em e-mail e internet - e é claro que é tecnologia, portanto a TI consertará. Essa é uma atitude que precisa mudar. As pessoas precisam entender o papel que desempenham na proteção da organização.
Outro conceito que deve mudar é que \"isso nunca irá acontecer comigo\". Isso simplesmente não é verdade. Um ataque pode acontecer a qualquer pessoa em qualquer organização. As pessoas precisam entender como esses ataques funcionam e precisam começar a ouvir as estatísticas sobre como eles são comuns:
- 91% do tempo, e-mails de phishing estão por trás de ataques cibernéticos. As pessoas sabem o que é um ataque de phishing?
- Criminosos nem sempre buscam informações financeiras. Eles estão atrás de muitos logins comumente usados/ informações de conta. As pessoas guardam todas as informações da conta da mesma forma?
- Incidentes de malware móvel estão crescendo. Eles estão acima de 54%. As pessoas consideram mesmo os seus smartphones e tablets como um perigo?
- Houve 22,41 milhões de registros expostos somente nos Estados Unidos até 2018. Sim, isso pode acontecer com qualquer pessoa.
\"Lideranças em todas as linhas de negócios devem compreender a importância da segurança cibernética e devem incentivar as pessoas a tomar ações apropriadas.\"
Mudando os valores relacionados à segurança cibernética
Quando falamos de valores, estamos falando de dar algo que vale a pena. Dando significado e importância às vidas daqueles que nos rodeiam. Então, se o \"fator medo\" não é suficiente para inspirar a ação, como darmos valor à segurança cibernética aos olhos de nossos funcionários?
Certamente, liderar pelo exemplo é fundamental. Tanto em termos de conversar a respeito, como de fornecer orçamento para os esforços da defesa cibernética. As lideranças em todas as linhas de negócios, devem compreender a importância da segurança cibernética e devem incentivar as pessoas a adotarem ações apropriadas. E, claro, elas devem fazer isso por si mesmas: você não pode dizer aos outros para alterarem suas senhas e, em seguida, reter as suas por 25 anos, porque é mais fácil assim.
Às vezes, porém, as pessoas precisam de algo mais antes de valorizar uma ideia. Pense em um esporte em que você participa e valoriza. Você falando sobre suas realizações em campo e celebrando os sucessos com sua equipe, pode encorajar outra pessoa a experimentá-lo e apoiá-lo.
O mesmo é necessário em iniciativas de segurança cibernética. As pessoas devem ser regularmente encorajadas e lembradas sobre o quão importante é o seu papel. Elas devem ser elogiadas pelo esforço dedicado. Elas precisam ser reconhecidas quando levantarem uma bandeira vermelha, admitirem um erro ou mesmo seguirem as políticas.
Mudando as metas relacionadas à segurança cibernética
Todos os objetivos são medidos para serem bem-sucedidos, mas como você mede a conscientização e a compreensão em torno desse problema? Lembre-se de que se trata de mudar a cultura e, por isso, você não quer usar KPIs técnicos testados e comprovados, como número de incidentes ou custo por incidente.
Em vez disso, pense em como avaliar o envolvimento dos funcionários:
- As pessoas estão lendo as informações que você fornece? Que tipo de taxas de cliques você recebe? Taxas de abertura?
- Eles estão concordando com políticas e procedimentos? Quantos entregaram uma cópia assinada da política? Quantos treinamentos concluídos?
- Os funcionários estão realmente mais conscientes de seu papel na segurança cibernética? Talvez os pesquise anualmente para descobrir o que eles sabem e não sabem.
- O departamento de TI está recebendo mais solicitações para avaliar aplicativos / programas? Ou mais relatos de atividade suspeita?
E lembre-se de que uma mudança cultural precisa ser um esforço coletivo, por isso, não mantenha os números ocultos. Você pode até celebrar um pouco o esforço: “Olá a todos, estivemos com 85% de conscientização no ano passado. Vamos ver se conseguimos atingir 92% este ano! A primeira pessoa a entregar sua pesquisa recebe um prêmio! ”
\"Bloqueie a tela dos dispositivos quando você os deixar sem supervisão.\"
Mudando práticas que impactam a segurança cibernética.
E, claro, há todos os componentes práticos necessários para realizar o trabalho. Práticas são todas as dicas e truques usados para combater violações de dados:
- Verificar os antecedentes das novas contratações
- Implementar treinamento
- Incorporar um defensor da segurança cibernética em cada equipe / grupo
- Implementar backups automáticos e / ou fornecer dispositivos de backup
- Forçar alterações de senha
- Adotar software de atualização automática
- Usar criptografia
- Fornecer dispositivos móveis da empresa
- Investir em um serviço de destruição de documentos ou trituradores
- Limpar arquivos desatualizados
- Garantir a segurança física de Laptops e dispositivos
- Bloquear a tela dos dispositivos quando você os deixar desacompanhados
O ponto principal aqui é que é preciso mais do que apenas uma lista de verificação das melhores práticas para agilizar a criação de uma cultura de conscientização sobre segurança cibernética. É preciso que todos os componentes da cultura trabalhem juntos e se concentrem na mudança para proteger sua organização.
*Matheus Assis Baeta é diretor da OTRS Brasil
Sobre a OTRS
A OTRS é lider em soluções para gerenciamento de processos e comunicações e oferece às empresas de todos os tamanhos soluções flexíveis para economizar tempo e dinheiro.
Entre seus clientes estão Lufthansa, Airbus, IBM, Porsche, Siemens, Bayer Pharma AG, BSI (Instituto Federal de Segurança da Informação), Instituto Max Planck, Toyota, Huawei, Hapag Lloyd e Banco do Brasil. Mais de 170.000 empresas em todo o mundo usam a OTRS Service Management Suite, entre elas mais de 40% das empresas do DAX 30.
A suíte OTRS está disponível em 38 idiomas. A empresa é constituída por OTRS AG e suas cinco subsidiárias OTRS Inc. (EUA), OTRS S.A. de C.V. (México), OTRS ASIA Pte. Ltd. (Cingapura), OTRS Asia Ltd. (Hong Kong) e OTRS Do Brasil Soluções Ltda. (Brasil). A OTRS AG está listada no Conselho Básico da Bolsa de Valores de Frankfurt. Mais informações em: http://www.otrs.com