Se sua empresa ainda não tem um guia de melhores práticas em cibersegurança, ou tem e não consegue fazer o time segui-lo, ficando sempre à mercê das falhas humanas, este post é para você.
Você sabia que erros humanos são responsáveis por 33% dos incidentes de segurança da informação registrados em todo 2018 na América Latina? O dado é do relatório “O estado da cibersegurança industrial” e traz à tona uma preocupação que deve ser constante nas empresas de todos os portes e segmentos: as pessoas.
Quando se fala em cibersecurity, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.
Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:
1. NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL
Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar. Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.
2. TENHA O CONTROLE DOS ACESSOS
Inicie sua política de melhores práticas em infosec definindo os níveis de acesso. Que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z? Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.
3. INFORME SOBRE SUAS POLÍTICAS DE ACESSO
Depois de definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma. Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem. Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.
4. REGRAS DE ACESSO NÃO SÂO APENAS PARA OS CANAIS INTERNOS
Lembre de incluir na sua política de segurança regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo. Já imaginou um funcionário seu se portando como manda o figurino dentro do ambiente de negócios, mas expondo seus dados no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.
5. REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS
Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.
6. SEJA COERENTE
Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos. Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.
7. MANTENHA UM DIÁLOGO ABERTO
Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI e cibersecurity (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso. É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança. Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.
8. SENSIBILIZE
Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito. Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.
9. INCENTIVE E RECONHEÇA
Usuários que sigam à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.
10. FAÇA TESTES PERIÓDICOS
Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados. O importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.
Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido. É com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.
E depois de focarmos o tema “pessoas”, que tal algumas dicas para te ajudar na escolha das soluções de segurança mais adequadas a seu negócio? É o que você encontrará no post da próxima semana, aqui no blog. Fique atento.