28.9 C
São Paulo
terça-feira, abril 16, 2024
InícioCibersegurançaO desafio de criar uma cultura de segurança da informação nas empresas

O desafio de criar uma cultura de segurança da informação nas empresas

Muito se fala sobre as grandes preocupações com os temas de segurança nas empresas, inclusive por muitas pessoas que não são da área de segurança da informação, o que já é um ótimo sinal. Mas será mesmo que esse tema está se tornando amplo e difundido ao ponto de fazer parte da cultura das empresas, de verdade?

Honestamente, eu acho que ainda estamos no começo dessa jornada para a esmagadora maioria das empresas. Segurança da Informação ainda é uma questão que, na visão de muitos, é uma responsabilidade da “equipe de segurança da informação” ou das pessoas que tomam conta do assunto quando ainda não há uma área responsável pelo tema de forma estruturada. 

Eu costumo falar que a segurança da informação é uma responsabilidade de todos porque realmente acredito (e muitos outros especialistas no assunto concordam) que, somente se o time de segurança ficar preocupado e der atenção de verdade ao tema, nós seremos capazes de elevar a maturidade de segurança da empresa de uma forma verdadeira.

Precisamos trabalhar para que as empresas tenham segurança como parte de seu DNA, intrínseco em sua cultura corporativa. E isso é uma jornada que demanda esforço, insistência, resiliência e tempo para que se torne uma verdade.

Tornar a segurança da informação uma real responsabilidade de todos na empresa fica cada vez mais necessário, quando vemos dados que reforçam a importância dos usuários, como podemos ver na pesquisa feita pela empresa de segurança Kaspersky, que aponta que, nos últimos 2 anos, 64% dos incidentes tiveram sua causa ou origem em falhas humanas. Falhas essas como, uso de senhas fracas (22%), acesso a sites inseguros (18%) e a tão falada falta de atualizações de segurança em software (25%).

Para melhorar esse cenário, é preciso trazer todos para o jogo, fazer com que cada pessoa na empresa entenda seu papel e responsabilidade no que tange a segurança da informação. 

segurança da informação
Imagem gerada por inteligência artificial (IA)

Não estou falando em somente fazer com que elas usem “senhas fortes” ou “não cliquem no phishing”, que são sim comportamentos importantes e precisam ser feitos, mas eles têm que fazer parte de algo maior, de um comportamento seguro que faz com que a empresa caminhe para que seja criada uma cultura de segurança.

Nós, como profissionais de segurança, precisamos ajudar os usuários a entender esse papel, estar próximos para levar as mensagens corretas, no formato e tempo correto para que todos entendam. Não adianta somente mandar aquele e-mail interno informando as políticas e pedindo para os usuários lerem a normativa. Precisamos levar essas mensagens de uma forma mais direta e objetiva, explicando os porquês (o que poucas vezes fazemos) da implementação dos controles de segurança. Precisamos nos encaixar na linguagem corporativa que os funcionários entendem e estão acostumados a ver.

E, para isso, me desculpem os companheiros de profissão, nós, profissionais de segurança raiz, em sua grande maioria, não somos os mais capacitados para fazer. Precisamos buscar pessoas que consigam servir de tradutores das questões de segurança para o dia-a-dia dos funcionários, falar com eles num modelo que eles dêem a devida atenção e, principalmente, entendam o seu papel nessa jornada.

Temos que aprender a usar os mecanismos, áreas e momentos corporativos que podem ajudar no tema. Áreas como comunicação interna e recursos humanos têm um papel fundamental nessa jornada.

Devemos buscar formar “porta-vozes” sobre a segurança na empresa, preferencialmente alto-executivos, para que eles falem sobre o tema, pois é mais impactante o diretor de uma determinada área falar sobre segurança com seu staff do que ele abrir espaço para o CISO falar.

segurança da informação
Imagem gerada por inteligência artificial (IA)

Ainda nessa linha, precisamos segmentar nossas comunicações de acordo com o público, nível hierárquico, responsabilidades dentro da empresa, nível de conhecimento do assunto e principalmente direcionar essas comunicações para ações práticas, ou seja, o que realmente precisamos que as pessoas façam como contribuição para que essa cultura de segurança se torne algo de verdade parte da cultura da empresa.

E temos o desafio de fazer isso se tornar algo constante, pessoas entram e saem da empresa e precisamos encontrar uma forma de letrar esse público de forma contínua, pois o volume de informação que esse público recebe é muito grande, e as questões de segurança são somente uma parte do que todos precisam saber nas empresas.

Claro que a equipe de segurança tem papel fundamental nessa jornada, se aproximando das equipes, conversando, divulgando conteúdo, servindo de ponto de apoio para o tema (afinal, são os especialistas no assunto) e também fazendo o seu papel, que é extremamente importante na proteção do ambiente e na gestão dos controles e riscos cibernéticos.

A soma de todos esses esforços é o que fará com que seu programa de segurança tenha sucesso e atinja o real objetivo, que é fazer com que a segurança da informação seja uma responsabilidade de todos de verdade.

Não podemos também esquecer dos membros de comitês e conselhos de administração (para as empresas que possuem esses órgãos de governança). É muito importante também informar e apoiar na capacitação desse público para que eles sejam parte da formação da cultura e ajudem nesta jornada. Como sugestão para esse público, recomendo a leitura e aplicação do Manual de Cybersecurity para Diretores do NACD

Ele traz sugestões de pontos a serem abordados com visão executiva e prática. Afinal, sabemos que o exemplo vindo de alçadas superiores é um excelente reforço para qualquer questão comportamental, e com segurança não é diferente.

Enfim, criar uma cultura de segurança que faça realmente parte do DNA das empresas é algo muito desafiador para todos nós, mas é algo que eu realmente acredito ser necessário para que possamos tornar nossos negócios, empresas e o ambiente que convivemos mais seguros para todos!

Glauco Sampaio
Glauco Sampaio
Profissional da área de Segurança da Informação, Gestão de Riscos e Prevenção a Fraudes atuando desde 1999 em empresas de grande porte do mercado financeiro nacional (Bancos: Santander, Votorantim e Original, e Cielo) e também em empresa de mídia (iG e Editora Abril). Gestor desde 2005 sendo responsável pela estratégia, operação e gestão de áreas de segurança da informação.
Postagens recomendadas
Outras postagens