Cultura de Segurança da Informação e Programas de Conscientização

Segurança da informação e conscientização

Cultura de Segurança da Informação e Programas de Conscientização

Uma pesquisa realizada pela ISACA e o CMMI Institute mostra que 9 em cada 10 empresas disseram que há uma lacuna entre a cultura de segurança que desejam e a cultura real que vivenciam.

Uma cultura de segurança é em resumo um conjunto de práticas (relacionadas a conhecimentos e atitudes) adotado em uma empresa com o objetivo de protegê-la de ataques de cibercriminosos, uso impróprio de dados sigilosos, perda ou sequestro de informações.

O ponto crucial é que muitas dessas práticas dependem do comportamento cooperativo das pessoas, e não apenas de processos ou ferramentas tecnológicas.

Buscar uma cultura forte e consistente é fundamental para a segurança de qualquer empresa, e o caminho para atingir esse objetivo são os programas de treinamento e conscientização (cybersecurity training and awareness).

A ideia de que segurança é responsabilidade exclusiva da área de TI é incorreta. A preocupação com segurança é cada vez mais responsabilidade de toda a empresa, e por consequência de cada colaborador.

As empresas precisam deixar de ver as pessoas como o elo mais fraco da cadeia de segurança e passar a tratá-las como a camada mais forte, capacitando e testando de maneira recorrente, até o estado em que cada colaborador esteja ciente dos riscos e seja capaz de tomar decisões conscientes e seguras constantemente.

O modelo de “Zero Trust” pode e deve ser aplicado também na área de treinamento e conscientização de segurança, onde cada colaborador após o treinamento, é testado para garantir que o conhecimento adquirido realmente se tornou habilidade e não desaparece com o tempo. Afinal, o objetivo de um bom programa estruturado de conscientização é a mudança de comportamento e a adoção de hábitos seguros.

Conheça algumas estratégias para construir uma cultura de segurança e consciência de risco:

  • Adote uma cultura de segurança positiva, baseada na recompensa pelo bom comportamento, e não na punição pelas más ações. Quando as pessoas têm medo de mostrar seus erros, elas os escondem, mas o objetivo deve ser sempre a transparência;

  • Não adianta querer passar o mesmo conteúdo de segurança por toda a empresa, é importante entender a linguagem e o público. A segmentação do público torna o tema mais interessante.

  • Os resultados são melhores quando o conteúdo é apresentado de maneira simples, objetiva e com discursos que trazem o problema para questões da vida pessoal dos colaboradores.

  • Assumir que o treinamento de segurança é uma solução rápida é um erro porque o treinamento precisa ser periodicamente reforçado, abordado de diferentes maneiras e alinhado com a evolução das ameaças e vulnerabilidades. Técnicas de “micro-learning” e “gamification” podem ajudar no engajamento;

  • Tenha objetivos e métricas claras para cada ação. Métricas para “compliance” são importantes (quem, quantas pessoas, etc.), mas métricas de comportamento são ainda melhores, mas mais difíceis de medir (diminuição dos incidentes de segurança, melhoria nos resultados de simulações de “phishing”, etc.);

Partilhe este post

Share on facebook
Share on linkedin
Share on twitter
Share on email

Entre em contacto

Nóticias sobre Cibersegurança e Proteção de Dados

A LGPD e o impacto nas pequenas empresas

As pequenas e médias empresas não estão isentas da conformidade com a LGPD. A Lei se aplica sempre que uma empresa coleta dados pessoais de um cidadão brasileir
Proteção de dados

Como criar uma política de privacidade?

O que é e como criar uma Política de Privacidade? Podemos dizer que a Política de Privacidade é uma mensagem que explica aos titulares dos

Como previnir ataques de Ransomware
Cibersegurança

Ransomware, como se prevenir?

Recentemente, temos visto em notícias, diversos incidentes cibernéticos acontecendo dentro das organizações.  Os diversos incidentes cibernéticos atuais que aparecem na mídia e o recente comunicado

LGPD e o legislativo
Proteção de dados

O legislativo federal e a LGPD

Atualmente tramitam nas casas legislativas federais brasileiras 25 projetos de lei (PLs) que alteram ou complementam a Lei 13.709/2018, sendo 10 deles no Senado Federal.

pt_PT