Práticas recomendadas para ajudar a fortalecer a cultura de segurança da sua empresa
A maioria dos incidentes de segurança tem menos a ver com tecnologia e mais com pessoas. Em 2021, 82% das violações de segurança envolveram um elemento humano. Negligência, erros de julgamento, descuido, uso indevido, configurações incorretas e preconceitos ajudam os criminosos cibernéticos a atravessar a porta da frente de algumas das organizações mais “experientes em segurança”.
O cenário de ameaças também está se tornando mais arriscado e complexo. Os funcionários que trabalham em casa estão acessando recursos confidenciais de fora do perímetro corporativo, tornando-os mais vulneráveis à engenharia social, fraudes e golpes de phishing. Novos riscos geopolíticos estão surgindo e a infraestrutura crítica está cada vez mais se conectando à internet.
A segurança agora é responsabilidade de todos, não apenas das equipes de segurança de TI.
Difícil de aproveitar e domar, o comportamento humano é indiscutivelmente um dos maiores desafios enfrentados por profissionais de segurança, líderes e gerentes de riscos cibernéticos. É por isso que o conceito de cultura de segurança é cada vez mais importante: a cultura tem o poder de influenciar os comportamentos, atitudes, percepções, crenças, normas e costumes dos funcionários.
Então, como as organizações podem fortalecer sua cultura de segurança? Aqui estão seis práticas recomendadas que podem ajudar:
1. Meça as coisas para criar um impacto significativo.
Você não pode mudar o que você não pode medir. Para influenciar positivamente a cultura de segurança, você deve primeiro analisar seu estado atual. Com que frequência o treinamento de segurança é realizado? Como são as taxas de participação e as métricas de engajamento? Como os funcionários se saem em simulações de phishing? Quais são as atitudes, valores e crenças dos funcionários em relação ao programa de segurança cibernética da organização? Com que frequência os funcionários estão relatando e sinalizando e-mails de phishing? Quais são as principais causas de ataques cibernéticos? Os controles de segurança relevantes já estão em vigor?
Uma vez que as equipes de segurança tenham uma compreensão do estado geral dos controles de segurança e da cultura de segurança subjacente, elas podem embarcar em seu plano para alcançar os comportamentos desejados.
2. Comece pelo topo.
Qualquer mudança de cultura deve, idealmente, começar do topo. Se o C-suite não suportar a transformação desejada, todos os esforços provavelmente falharão. Para garantir a adesão da liderança, explique o caso de negócios com clareza. Quais são os riscos? Quais são as métricas? Qual é o quadro proposto? Demonstrar o impacto positivo de menor risco, melhor eficiência, melhor reputação, menos erros humanos e menos incidentes. Garantir que a liderança capacite, articule, comunique e demonstre seu próprio desenvolvimento e incentive até mesmo as mudanças culturais mais matizadas.
3. Mantenha-o real e relevante.
Ao treinar funcionários, sempre cite exemplos do mundo real de ataques cibernéticos nas manchetes. Explique como os vieses cognitivos estão impactando as decisões do dia-a-dia. Às vezes, os usuários sabem o que fazer, mas não como. Às vezes, as equipes de segurança cibernética lhes dizem como fazê-lo, mas não conseguem lembrá-los do porquê. Crie programas personalizados e adaptados ao público-alvo com base no perfil de trabalho, nível de risco, maturidade de segurança ou competência. Tente oferecer conteúdo de alto valor. Muitas pessoas passam por treinamento de conscientização de segurança e conformidade porque precisam, não porque querem.
4. Fale de uma maneira que as pessoas entendam.
A maioria das pessoas técnicas tende a se deixar levar pelo jargão. Tente mantê-lo simples. Evite usar palavras que evoquem conotações negativas. Por exemplo, em vez de usar conceitos de segurança como “confiança zero”, use palavras mais simples, como “sempre verificar”. Em vez de usar “correção de segurança” ou “gerenciamento do ciclo de vida”, use frases como “esteja sempre atualizado”. A ideia é ser positivo com as comunicações para que os funcionários de vários departamentos que podem não estar familiarizados com o jargão da segurança cibernética o considerem significativo, relevante e impactante.
5. Crie uma cultura de responsabilidade, não de culpa.
Uma cultura de segurança positiva é aquela que dá às pessoas a confiança de que elas podem falar abertamente e ver a organização melhorando como resultado. Permitir que os trabalhadores entendam o que é melhor para proteger a organização também protegerá seus próprios dados pessoais e privacidade. Se um funcionário encontrar algo que é falho ou descobrir uma tentativa de phishing, ele deve se sentir à vontade para denunciá-lo sem medo de repreensão.
6. Capacite os funcionários com as ferramentas de que precisam.
Torne as políticas e procedimentos de segurança claros para os usuários (o que eles devem fazer, por que devem fazê-lo e como). Ofereça treinamento regular de conscientização de segurança que inclua as últimas tendências e táticas usadas por cibercriminosos para enganar as vítimas. Implante as práticas recomendadas de segurança, como antispam, detecção e resposta de endpoint, autenticação multifator, sistema de detecção de intrusão, etc., para garantir que os usuários estejam protegidos. Crie um ciclo de feedback ou um processo de relatório para obter uma melhor compreensão dos requisitos e desafios dos funcionários em evolução.
Para resumir, comece com a cultura no topo e concentre-se no comportamento na parte inferior. Capacite os funcionários, treine regularmente e execute exercícios de simulação de phishing, incentive a comunicação de atividades suspeitas ou anomalias e tenha métricas para ajudar a organização a oferecer melhorias contínuas.
Autor: Steve Durbin é diretor executivo do Information Security Forum. Ele é um palestrante frequente no papel do Conselho em segurança cibernética e tecnologia.