Quando se fala em como criar uma cultura eficiente de cibersegurança, privacidade de dados, conformidade, LGPD e afins, o primeiro item a vir à mente TEM que ser o fator humano. Afinal, de nada adiantará dispor de ótimas tecnologias e de profissionais super qualificados cuidando das redes, sistemas, dados, se todos os colaboradores não conhecerem as políticas e estratégias de segurança da empresa.
Você sabia que o recente relatório do Fórum Econômico Mundial revelou que 95% dos problemas de segurança cibernética são causados por erro humano?
Como criar, então, esta cultura de segurança? Criamos uma série de dicas para te auxiliar. Confira:
- NÃO EXISTE FÓRMULA MÁGICA OU MÉTODO IDEAL
Não espere uma receita pronta, pois o que é aplicável para muitas companhias, pode não ser para outras. Tudo requer personalização. Então, a primeira dica é não copiar.
Se a empresa X aplica determinadas práticas, não tem problema você conhecê-las para se inspirar, mas isso não significa que deverá simplesmente trazê-las para o seu negócio. Primeiro, conheça sua exata realidade e, a partir dela, desenhe sua própria política.
- TENHA O CONTROLE DOS ACESSOS
Inicie sua política de melhores práticas em segurança, definindo os níveis de acesso.
Isto é, que colaboradores de quais áreas podem acessar quais recursos de quais soluções? Quem realmente precisa conhecer ou trabalhar com as informações X, Y e Z?
Lembre-se: nem todo mundo pode – nem deve – acessar todos os dados ou sistemas de sua organização. Para cada cargo, forneça acesso somente ao que for essencial para realização do trabalho.
- INFORME SOBRE SUAS POLÍTICAS DE ACESSO
Após definir as políticas de acesso, deixe todos saberem de suas exatas permissões e proibições, bem como os porquês de cada uma.
Isso servirá para duas coisas: evitar o “tititi” que pode gerar dúvidas ou até mesmo “fake news” dentro do ambiente corporativo e minimizar o risco de que colaboradores não autorizados tentem driblar as regras para acessar o que não podem.
Se eles sabem que há um plano estruturado e que os acessos são monitorados, a chance de que tentem burlar é muito menor.
- REGRAS DE ACESSO NÃO SÃO APENAS PARA OS CANAIS INTERNOS
Lembre de incluir na sua política de segurança, regras não apenas para os canais internos da companhia, mas também para os externos, como as redes sociais, por exemplo.
Já imaginou um funcionário seu postando conteúdo pessoal no ambiente de negócios, e, por “descuido” expondo dados da instituição no Facebook, LinkedIn, Whatsapp, Instagram e afins? Deixe, desde o princípio, muito claro que as melhores práticas de cibersegurança valem para todas as plataformas.
- REGRAS SÃO FEITAS PARA SEREM CUMPRIDAS
Pegando o gancho da dica acima, é importante também que você esclareça seus colaboradores sobre as punições cabíveis para quem infringir as regras. Todos têm de estar cientes das regras que devem seguir e de como eles ou a empresa toda podem sofrer penalizações caso as burlem.
- SEJA COERENTE
Não crie regras impossíveis de serem compreendidas pelo time todo, ou seja: a linguagem precisa ser compreensível por todos os níveis hierárquicos.
Na mesma linha, as punições também precisam ser cabíveis: não crie penalizações faraônicas, pois estas poderão gerar mais pânico do que respeito às regras. E gente em pânico tende a cometer erros.
- MANTENHA UM DIÁLOGO ABERTO
Mesmo que a política de segurança da informação tenha sido criada em conjunto com seus colaboradores ou terceirizados das áreas de TI, segurança e privacidade (como deve ser), não se esqueça de manter um diálogo aberto com eles sobre isso.
É comum que os TIs não vejam o negócio ou as tecnologias do ponto de vista dos usuários, e isso pode criar distância entre estes dois públicos, gerando eventuais interferências na cultura de segurança.
Mantenha todos sempre na mesma página, isso será melhor para o funcionamento de sua estratégia.
- SENSIBILIZE
Mais do que informar o time sobre as políticas de segurança, é importante engajá-lo ao propósito.
Pessoas que entendem o motivo de cada regra e da política geral de segurança da informação ficam mais propensas a segui-las.
- INCENTIVE E RECONHEÇA
Usuários que seguem à risca as boas práticas devem ser valorizados, a fim de que permaneçam motivados e deem exemplo aos demais.
- FAÇA TESTES PERIÓDICOS
Podem ser avaliações por escrito, conversas ou testes práticos de uso de aplicações e dados, o importante é manter o olho sobre toda a organização e ter certeza de que as políticas de segurança da informação se tornaram, de fato, uma cultura da empresa.
Vale acrescentar que quanto mais as melhores práticas forem informadas, repetidas, reforçadas junto às equipes, melhor. A repetição é o caminho da excelência, neste sentido – com isso que você alcançará usuários não apenas engajados às suas políticas de privacidade de dados, mas também naturalmente interessados em segurança da informação.
Agora você já sabe como criar uma cultura eficiente de cibersegurança. Ficou alguma dúvida? Nos chame nas redes sociais, será um prazer esclarecer dúvidas e/ou debater ideias!