Cultura de Segurança da Informação e Programas de Conscientização

Cultura de Segurança da Informação e Programas de Conscientização

Cultura de Segurança da Informação e Programas de Conscientização

Uma pesquisa realizada pela ISACA e o CMMI Institute mostra que 9 em cada 10 empresas disseram que há uma lacuna entre a cultura de segurança que desejam e a cultura real que vivenciam.

Uma cultura de segurança é em resumo um conjunto de práticas (relacionadas a conhecimentos e atitudes) adotado em uma empresa com o objetivo de protegê-la de ataques de cibercriminosos, uso impróprio de dados sigilosos, perda ou sequestro de informações.

O ponto crucial é que muitas dessas práticas dependem do comportamento cooperativo das pessoas, e não apenas de processos ou ferramentas tecnológicas.

Buscar uma cultura forte e consistente é fundamental para a segurança de qualquer empresa, e o caminho para atingir esse objetivo são os programas de treinamento e conscientização (cybersecurity training and awareness).

A ideia de que segurança é responsabilidade exclusiva da área de TI é incorreta. A preocupação com segurança é cada vez mais responsabilidade de toda a empresa, e por consequência de cada colaborador.

As empresas precisam deixar de ver as pessoas como o elo mais fraco da cadeia de segurança e passar a tratá-las como a camada mais forte, capacitando e testando de maneira recorrente, até o estado em que cada colaborador esteja ciente dos riscos e seja capaz de tomar decisões conscientes e seguras constantemente.

O modelo de “Zero Trust” pode e deve ser aplicado também na área de treinamento e conscientização de segurança, onde cada colaborador após o treinamento, é testado para garantir que o conhecimento adquirido realmente se tornou habilidade e não desaparece com o tempo. Afinal, o objetivo de um bom programa estruturado de conscientização é a mudança de comportamento e a adoção de hábitos seguros.

Conheça algumas estratégias para construir uma cultura de segurança e consciência de risco:

  • Adote uma cultura de segurança positiva, baseada na recompensa pelo bom comportamento, e não na punição pelas más ações. Quando as pessoas têm medo de mostrar seus erros, elas os escondem, mas o objetivo deve ser sempre a transparência;

  • Não adianta querer passar o mesmo conteúdo de segurança por toda a empresa, é importante entender a linguagem e o público. A segmentação do público torna o tema mais interessante.

  • Os resultados são melhores quando o conteúdo é apresentado de maneira simples, objetiva e com discursos que trazem o problema para questões da vida pessoal dos colaboradores.

  • Assumir que o treinamento de segurança é uma solução rápida é um erro porque o treinamento precisa ser periodicamente reforçado, abordado de diferentes maneiras e alinhado com a evolução das ameaças e vulnerabilidades. Técnicas de “micro-learning” e “gamification” podem ajudar no engajamento;

  • Tenha objetivos e métricas claras para cada ação. Métricas para “compliance” são importantes (quem, quantas pessoas, etc.), mas métricas de comportamento são ainda melhores, mas mais difíceis de medir (diminuição dos incidentes de segurança, melhoria nos resultados de simulações de “phishing”, etc.);

Partilhe este post

Entre em contacto

Nóticias sobre Cibersegurança e Proteção de Dados

A LGPD e o impacto nas pequenas empresas

As pequenas e médias empresas não estão isentas da conformidade com a LGPD. A Lei se aplica sempre que uma empresa coleta dados pessoais de um cidadão brasileir
Cibersegurança

A Importância da Auditoria de Segurança Cibernética

Num contexto global onde a digitalização prevalece, a cibersegurança se tornou uma preocupação inegável. Nesse cenário, a Auditoria de Segurança Cibernética emerge como um pilar

Cibersegurança

Gestão de Incidentes de Segurança Cibernética

A segurança cibernética tornou-se uma prioridade incontestável nas empresas modernas, à medida que a complexidade das ameaças digitais continua a evoluir. Nesse contexto, a habilidade

es_MX