Ao invés de culpar e colocar medo, as equipes de segurança precisam criar uma cultura de responsabilidade pessoal para cuidado dos dados. Neste artigo falamos sobre como isso pode ser feito.

Equipes de segurança não podem proteger o que não enxergam. Enquanto ferramentas de monitoramento vão melhorando, os usuários finais e os gestores do negócio precisam comunicar à TI e Segurança o que suas equipes estão fazendo com os diferentes tipos de dados em diferentes tipos de aplicações, e mais importante, se algo não esperado ocorreu.

Uma cultura de cyber security que seja construída com base no medo e na culpa no final das contas vai fazer com que os usuários finais não vão comunicar caso estejam usando aplicações não-sancionadas, se clicaram em links maliciosos ou se viram atividade suspeita, até que seja muito tarde. As equipes de segurança devem empoderar os usuários finais a terem uma cultura de responsabilidade pessoal, de forma que eles tratem da segurança dos dados da mesma forma como eles tratam outras políticas da empresa como normas de segurança, férias e outros.

A cultura de culpabilização encoraja uma segurança ruim

Enxergar os humanos como ponto fraco e criar um ambiente onde os colaboradores temem por represálias com relação à falhas de segurança não é uma boa forma de estruturar uma cultura de cyber security. Contudo, algumas empresas ainda tomam medidas extremas para punir as vítimas de golpes. Uma firma na Escócia demitiu e ainda moveu processo contra um membro da equipe que foi vítima de um golpe de phishing e cedeu cerca de 200 mil libras esterlinas da empresa, o golpe era um atacante se passando pelo diretor requisitando um pagamento.

Esse tipo de culpabilização faz com que os colaboradores fiquem menos propensos a comunicar quando algo dá errado, colocando os dados em risco ainda maior. Ao contrário disso, a cultura de cyber security deve encorajar os funcionários a reportarem e comunicarem o que acontecer de errado e os comportamentos suspeitos observados.

O que uma boa cultura de cyber security deve parecer

Se a cultura de culpabilização é ruim, o que uma cultura boa deve ser? As pessoas devem de forma intuitiva entender os riscos associados com as atividades do dia-a-dia, e ter o conhecimento de que são capazes de mitigar ou lidar com determinado risco.

A seguir apresentamos 4 pontos que consideramos como fundamentais onde os CISO devem se concentrar para estabelecer uma boa cultura de cyber security.

1 – Torne a segurança acessível

Um ponto chave para se criar uma boa cultura de cyber security passa por tornar o assunto palatável para diferentes audiências dentro da empresa. Garanta que os conteúdos, as comunicações estejam em linguagem acessível a leigos em segurança. Se possível mostre cenários e exemplos reais.

Utilizar metáforas, situações do cotidiano para ilustrar os riscos de segurança torna mais fácil o entendimento do usuário, a consequência disso é que eles passam a levar a segurança corporativa mais a sério, visualizando as consequências que podem ocorrer caso algo dê errado.

Por fim, se as pessoas se sentem responsáveis pelos dados, responsáveis por manipular com segurança os dados que estão sob sua responsabilidade, elas terão mais cuidado com essas dados.

2 – Forneça treinamento contínuo de conscientização de segurança

Como parte da construção dessa cultura, as empresas precisam sair do modelo de treinamento e assessment pontual para um modelo de conscientização contínua. Obviamente que os treinamentos pontuais são melhores do que nenhum treinamento, mas é preciso sempre mirar uma evolução nesse tipo de processo. Por meio de eventos, treinos, vídeos podcasts e canais de comunicação que estiverem disponíveis, o importante é que sejam disponibilizados de forma contínua.

Medir a cultura de uma empresa é difícil, portanto, os índices de acompanhamento podem estar atrelados ao engajamento com os conteúdos. As visualizações de vídeos, downloads dos podcasts, leitura de emails relacionados. Isso ajuda a mostrar como e quando os conteúdos de segurança estão sendo consumidos.

Para ajudar nesse engajamento, as lideranças devem encorajar os funcionários a assistirem, lerem os conteúdos de segurança. De preferência, o Board deve regularmente relembrar a importância disso para os colaboradores da empresa.

3 – Seja parceiro dos colaboradores com relação ao Shadow IT

Condenar os usuários por utilizarem apps não sancionados, conhecidos como Shadow IT, é tão ruim quanto demiti-los por serem vítimas de golpes. O ponto central aqui é que as pessoas não são ruins, os funcionários não estão usando Shadow IT deliberadamente para contornar uma política da empresa, mas sim para fazer o próprio trabalho melhor, mais rápido e mas facilmente. é preciso aqui uma mudança de perspectiva da Segurança, precisamos deixar de ser os bloqueadores para sermos os facilitadores desse processo, permitindo que as pessoas tenham em mãos as ferramentas necessárias para seu trabalho acontecer.

Portanto, precisamos ser mais inteligentes com relação a isso. Shadow IT vai acontecer de uma forma ou de outra, o importante é primeiro ter visibilidade sobre o uso, posteriormente entender e mitigar os riscos associados. Nesse cenário, utilizar uma solução de CASB é fundamental para deixar de ser um bloqueador e passar a se tornar uma facilitador da operação.

4 – Dê o bom exemplo

Mudar a cultura de cyber security de uma empresa significa também mudar o mindset da equipe de segurança. Da mesma forma como a equipe quer que o CSO seja um líder, com boa comunicação, a equipe de segurança deve se tornar para a empresa mais visível, transparente e acessível.

A equipe de segurança deve fazer parte do processo de transmissão da mensagem de segurança, ajudando na educação dos funcionários, tirando dúvidas e apontando o caminho para quando, por exemplo, um funcionário relatar um comportamento suspeito ou identificar que foi vítima de algum golpe.