É hora de repensar a criação de uma cultura de conscientização sobre segurança cibernética

É hora de repensar a criação de uma cultura de conscientização sobre segurança cibernética

 

Milhares de artigos sobre segurança cibernética apontam que as pessoas desempenham um papel tão importante na prevenção de violações de dados quanto a tecnologia. Na verdade, de acordo com o estudo O Custo de uma Violação de Dados, do Instituto Ponemon, 27% das violações de dados em 2018 foram causadas por erro humano. Então, é claro que é importante envolver as pessoas em qualquer tipo de estratégia de defesa.

O mais complicado é que, como aprendemos com a lenta absorção da transformação digital, levar as pessoas a mudar é um desafio. Isso não pode ser feito simplesmente dizendo “tenha mais cuidado” ou “bloqueie seu computador”. Em vez disso, para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios.

“Não é simplesmente sobre uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo.”

 

O que é cultura?
Segundo o dicionário, cultura é “o conjunto de atitudes, valores, objetivos e práticas compartilhados que caracterizam uma instituição ou organização”. Não se trata simplesmente de uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo. E não é simplesmente sobre o que fazemos. É também sobre como pensamos sobre as coisas que fazemos.

Então, se dividirmos nossos esforços para transformar a participação da empresa na segurança cibernética, devemos examinar cada uma dessas áreas e começar a pensar sobre o papel que elas desempenham na criação de uma cultura de segurança.

Mudando atitudes sobre segurança cibernética

Se quisermos mudar as atitudes em relação à segurança cibernética, precisamos remover as mentiras e acentuar os verdadeiros componentes de risco.

Uma mentira comum é que “a cibersegurança é trabalho da TI”. Com muita frequência, as pessoas ouvem sobre segurança cibernética e pensam instantaneamente em e-mail e internet – e é claro que é tecnologia, portanto a TI consertará. Essa é uma atitude que precisa mudar. As pessoas precisam entender o papel que desempenham na proteção da organização.

Outro conceito que deve mudar é que “isso nunca irá acontecer comigo”. Isso simplesmente não é verdade. Um ataque pode acontecer a qualquer pessoa em qualquer organização. As pessoas precisam entender como esses ataques funcionam e precisam começar a ouvir as estatísticas sobre como eles são comuns:

91% do tempo, e-mails de phishing estão por trás de ataques cibernéticos. As pessoas sabem o que é um ataque de phishing?

Criminosos nem sempre buscam informações financeiras. Eles estão atrás de muitos logins comumente usados/ informações de conta. As pessoas guardam todas as informações da conta da mesma forma?

Incidentes de malware móvel estão crescendo. Eles estão acima de 54%. As pessoas consideram mesmo os seus smartphones e tablets como um perigo?

Houve 22,41 milhões de registros expostos somente nos Estados Unidos até 2018. Sim, isso pode acontecer com qualquer pessoa.

“Lideranças em todas as linhas de negócios devem compreender a importância da segurança cibernética e devem incentivar as pessoas a tomar ações apropriadas.”

Mudando os valores relacionados à segurança cibernética
Quando falamos de valores, estamos falando de dar algo que vale a pena. Dando significado e importância às vidas daqueles que nos rodeiam. Então, se o “fator medo” não é suficiente para inspirar a ação, como darmos valor à segurança cibernética aos olhos de nossos funcionários?

Certamente, liderar pelo exemplo é fundamental. Tanto em termos de conversar a respeito, como de fornecer orçamento para os esforços da defesa cibernética. As lideranças em todas as linhas de negócios, devem compreender a importância da segurança cibernética e devem incentivar as pessoas a adotarem ações apropriadas. E, claro, elas devem fazer isso por si mesmas: você não pode dizer aos outros para alterarem suas senhas e, em seguida, reter as suas por 25 anos, porque é mais fácil assim.

Às vezes, porém, as pessoas precisam de algo mais antes de valorizar uma ideia. Pense em um esporte em que você participa e valoriza. Você falando sobre suas realizações em campo e celebrando os sucessos com sua equipe, pode encorajar outra pessoa a experimentá-lo e apoiá-lo.

O mesmo é necessário em iniciativas de segurança cibernética. As pessoas devem ser regularmente encorajadas e lembradas sobre o quão importante é o seu papel. Elas devem ser elogiadas pelo esforço dedicado. Elas precisam ser reconhecidas quando levantarem uma bandeira vermelha, admitirem um erro ou mesmo seguirem as políticas.

Mudando as metas relacionadas à segurança cibernética

Todos os objetivos são medidos para serem bem-sucedidos, mas como você mede a conscientização e a compreensão em torno desse problema? Lembre-se de que se trata de mudar a cultura e, por isso, você não quer usar KPIs técnicos testados e comprovados, como número de incidentes ou custo por incidente.

Em vez disso, pense em como avaliar o envolvimento dos funcionários:

As pessoas estão lendo as informações que você fornece? Que tipo de taxas de cliques você recebe? Taxas de abertura?

Eles estão concordando com políticas e procedimentos? Quantos entregaram uma cópia assinada da política? Quantos treinamentos concluídos?

Os funcionários estão realmente mais conscientes de seu papel na segurança cibernética? Talvez os pesquise anualmente para descobrir o que eles sabem e não sabem.

O departamento de TI está recebendo mais solicitações para avaliar aplicativos / programas? Ou mais relatos de atividade suspeita?

E lembre-se de que uma mudança cultural precisa ser um esforço coletivo, por isso, não mantenha os números ocultos. Você pode até celebrar um pouco o esforço: “Olá a todos, estivemos com 85% de conscientização no ano passado. Vamos ver se conseguimos atingir 92% este ano! A primeira pessoa a entregar sua pesquisa recebe um prêmio! ”

“Bloqueie a tela dos dispositivos quando você os deixar sem supervisão.”

Mudando práticas que impactam a segurança cibernética

E, claro, há todos os componentes práticos necessários para realizar o trabalho. Práticas são todas as dicas e truques usados ​​para combater violações de dados:

Verificar os antecedentes das novas contratações;
Implementar treinamento;
Incorporar um defensor da segurança cibernética em cada equipe / grupo;
Implementar backups automáticos e / ou fornecer dispositivos de backup;
Forçar alterações de senha;
Adotar software de atualização automática;
Usar criptografia;
Fornecer dispositivos móveis da empresa;
Investir em um serviço de destruição de documentos ou trituradores;
Limpar arquivos desatualizados;
Garantir a segurança física de Laptops e dispositivos;
Bloquear a tela dos dispositivos quando você os deixar desacompanhados.

O ponto principal aqui é que é preciso mais do que apenas uma lista de verificação das melhores práticas para agilizar a criação de uma cultura de conscientização sobre segurança cibernética. É preciso que todos os componentes da cultura trabalhem juntos e se concentrem na mudança para proteger sua organização.

Por Matheus Assis Baeta, diretor da OTRS Brasil

Fonte: https://inforchannel.com.br/2019/03/30/e-hora-de-repensar

2 de abril de 2019
Voltar para Blog