Funcionários Omissos em Relação a Denúncias de Irregularidades nas Organizações
Devido a uma pesquisa recente sobre os riscos de segurança relacionados à tecnologia, a constatação é de que quase dois terços dos trabalhadores do setor público não iria denunciar uma violação grave de proteção de dados caso eles achassem que iria causar problemas em seu local de trabalho; é evidente que os empregadores poderiam estar fazendo mais para melhorar o elemento humano da segurança dos dados. Então, o que é possível ser feito para se certificar de que os funcionários de uma organização são parte da solução, e não parte do problema? Infelizmente, ainda há uma grande disparidade entre as organizações no que diz respeito ao nível de formação e educação para lidar com as muitas ameaças de segurança.
Projeção da Cultura de Segurança Cibernética
Neste contexto, há uma suposição de que proporcionar aos funcionários uma política ou algumas horas de treinamento será o suficiente para combater as investidas maliciosas que cada vez mais se fazem presente. Enquanto isso "check the box" para a organização, caso realmente não seja desenvolvida uma cultura de segurança cibernética. Tirar o foco de como reunir todos em uma sala de treinamento durante várias horas ou promover um curso on-line e movê-lo para mensagens freqüentes, indica que as pessoas não podem deixar de vê-las. Além disso, é muito importante fazer com que as informações cheguem a todas as pessoas, e se for necessário, reenviando a mesma mensagem muitas vezes para que essa conscientização sobre as práticas de segurança ocorra em larga escala.
Dessa forma, a mentalidade de estar sempre vigilante é no que as organizações precisam se concentrar para a criação de um cenário assim vislumbrado, de modo que a segurança cibernética torna-se um forte reflexo das práticas reforçadas. Importante lembrar que uma verdadeira cultura de segurança tem de vir de cima para baixo. Se os líderes de uma empresa não dão o exemplo que deveriam, não será surpresa que os outros não vejam a segurança cibernética como uma prioridade. E este é um fato muito preocupante.
Start Phishing
A primeira coisa que qualquer CIO ou CISO deve fazer, é obter uma linha de base sobre o quão bem treinada a organização realmente é. Isto pode ser feito através da execução de um exercício de phishing e engenharia social ou mesmo trazendo a uma empresa que fornece isso como um serviço. Em face a essa situação, é recomendado que isso seja feito por duas razões. A primeira delas é que ele vai ser "eye-opening" para líderes empresariais para ver quantas pessoas falham na referida tarefa atribuída. A segunda, é que ele irá fornecer aos CISOs a justificativa de que necessitam como um suporte ao investimento necessário para que seja feito um programa formal. No final do dia, as organizações teriam uma quantia fixa de financiamento para gastar e empregar em treinamentos sobre segurança cibernética, que vem sendo uma das questões mais irrelevantes nas listas de prioridades. Se o CIO ou CISO demonstra que 70 por cento de seus funcionários não está familiarizado com as práticas básicas de segurança, há um motivo muito forte para encontrar os recursos a serem empregados na educação adicional. Além do mais, nenhum desses esforços é particularmente demorado ou custoso para fazer, mas eles encorajam bastante os funcionários a pensar em como eles são sempre um alvo potencial dessas investidas.
Priorizar a Prevenção
Em face do exposto, acredita-se firmemente que as pessoas não devem se mostrar disciplinadas em relação ao primeiro ou segundo casos de violações de segurança cibernética, caso os erros cometidos e que passaram a gerar essas violações forem genuínos. Sendo assim, é necessário lembrar que os atacantes são bons no que fazem. Ao invés disso, os funcionários que cometem erros de segurança devem receber treinamento adicional para se certificar de que não é a falta de conhecimento ou consciência que está causando o problema, portanto, é responsabilidade da organização educar seus funcionários e implementar técnicas mais enérgicas para mitigar os riscos.
Um programa eficaz de segurança cibernética sempre se resume a três coisas: pessoas, processos e tecnologia. As pessoas precisam ser treinadas e estar ciente dos perigos que estão lá fora e reconhecer que eles são reais. Assim, precisa haver processos e políticas que os funcionários podem usar como base em relação a como eles se comportam. Finalmente, tem de haver tecnologia moderna e avançada no local, para proteger as pessoas e evitar que sejam vítimas de violações de segurança e que a tecnologia mantenha pessoas com as competências e os recursos corretos. Vale lembrar que começar é sempre um desafio, mas não começar é um fracasso garantido. Isso não é uma questão de se algo de ruim que vai acontecer, é uma questão de quando vai acontecer. As organizações que entendem que seus funcionários são o elo mais fraco na cadeia de segurança cibernética e passam a tomar medidas para apoiar e educá-los, terão uma chance muito maior de proteger o seu negócio no longo prazo.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2304&p=2