Storage
 

Impulsionando uma cultura de segurança em primeiro lugar: Comece focando o básico

Leia em: Inglês Espanhol

Os ataques cibernéticos não vão desaparecer tão cedo.  Em vez disso, devemos esperar que a frequência desses apenas aumente. Isso significa que a verdadeira questão é como as organizações fornecem proteções mais eficazes para seus funcionários, parceiros e clientes?

Precisamos começar com o básico. Um fato frustrante é que mesmo fortes recursos de segurança continuam sendo prejudicados quando as organizações falham em fazer o básico. Por básico, quero dizer etapas como corrigir falhas de segurança conhecidas imediatamente, exigir senhas fortes, adicionar autenticação de dois fatores para acesso à rede e treinar as pessoas sobre como identificar e evitar ataques de phishing.

A boa notícia é que uma liderança forte pode solucionar essa série de problemas causados por negligenciar o básico. A solução é construir uma cultura de segurança sustentável, independentemente do tamanho da sua organização. Resolver problemas de segurança cibernética significa impulsionar a mudança organizacional. Além disso, os líderes de segurança não podem ser os impulsionadores da mudança sem uma cultura de segurança firmemente estabelecida como base.

Construindo uma cultura sustentável e de segurança em primeiro lugar

Uma cultura de segurança em primeiro lugar começa com um entendimento claro e aceitação de que a segurança é uma responsabilidade de todos.  Do funcionário mais novo ao Diretor de Segurança, uma cultura de segurança forte significa que todos aceitam o fato de que têm um papel a desempenhar para manter a organização segura.

Essa função começa com todos os envolvidos adotando uma mentalidade de segurança. Isso significa dedicar algum tempo para considerar as implicações de segurança de cada ação, seja ao fornecer acesso à sua rede aos parceiros, determinar os recursos de um novo produto ou como você responde a solicitações de informações por telefone, e-mail ou mídia social. Em qualquer situação, a segurança deve fazer parte da determinação de como você se envolve.

Nenhum problema básico de segurança ilustra melhor a necessidade de uma mentalidade de segurança do que um ataque de phishing. Um estudo da Cisco estima que até 95% de todas as violações de dados decorrem de ataques de phishing bem-sucedidos. Somente por meio da construção de uma cultura de segurança na qual todos entendam que devem se concentrar na segurança, uma empresa pode enfrentar a ameaça do phishing.

E construir uma cultura de segurança em primeiro lugar pode resolver o problema dos ataques de phishing. No meu discurso nos nossos eventos anuais de lançamento em toda a empresa que iniciam o nosso exercício fiscal, falei sobre como todos na Lenovo podem ajudar e mostrei onde no Outlook todos podem encontrar o recurso “Reportar phishing” que temos nos nossos sistemas e a Microsoft oferece às empresas. Ao tornar mais fácil reportar e-mails suspeitos, vimos um aumento de dez vezes nas comunicações desta ameaça potencial. Melhor ainda, menos de 1 em cada 10 e-mails sinalizados como suspeitos são, na verdade, e-mails de phishing, o que significa que nossas equipes estão sendo extremamente cautelosas, exatamente a cultura que você deseja ter.

A conscientização sobre segurança nunca se encerra

Outro elemento fundamental em uma cultura de segurança em primeiro lugar é garantir que todos entendam que a conscientização sobre segurança nunca para.  A segurança é uma jornada, não um destino.  Para cada novo recurso de segurança ou software de segurança, há uma nova vulnerabilidade sendo desenvolvida em algum lugar. Portanto, a necessidade de conscientização continua sendo constante.

No entanto, isso também significa que os líderes da sua cultura de segurança precisam entender que você simplesmente não pode assustar suas equipes no que tange ao cumprimento da segurança. Isso porque, com o passar do tempo, a mensagem perderá o significado e, no final das contas, será ignorada. Não apenas precisa haver criatividade na comunicação sobre segurança, mas você deve estar ciente de que erros serão cometidos. Como você reage a esses erros pode fazer a diferença entre fortalecer sua cultura ou enfraquecê-la inadvertidamente.

Sempre que possível, transforme os incidentes de segurança em momentos de aprendizado. Certifique-se de que todos os envolvidos entendam o que deu errado, quais foram as consequências para a organização e como esses problemas devem ser evitados no futuro. Se o problema que levou ao erro for novo, um treinamento adicional deve ser desenvolvido e ministrado para que o número máximo de pessoas possa aprender com o incidente.

Uma forte cultura de segurança em primeiro lugar exige responsabilidade.  As políticas da empresa devem ser aplicadas.  Adicionalmente, aqueles que foram instruídos sobre as ações corretas a serem tomadas devem seguir esse treinamento. No entanto, comemorar o sucesso é ainda mais importante. Isso pode ser um desafio na área de segurança, onde o sucesso geralmente significa que nenhum problema ocorreu.  Além disso, para o nosso pessoal e programas de segurança mais avançados, nunca queremos chamar a atenção para como estamos protegendo nossas organizações, para não dar uma vantagem indesejada aos invasores.

Um dos principais desafios quando se trata de segurança, é a segurança da infraestrutura em TI, principalmente em relação ao ransomware. Veja como vencer esses desafios neste webinar.

No entanto, gostaria de encorajá-lo a comemorar o sucesso em segurança sempre que puder.  Na linha de frente, isso significa agradecer aos funcionários que denunciam e-mails suspeitos. E para suas equipes focadas em segurança, isso significa oferecer oportunidades de crescimento e estabelecer a segurança como uma carreira desejável.

Conforme as ameaças à segurança continuam evoluindo, as organizações precisam de um conjunto robusto de defesas para detectar possíveis ataques e proteger seus sistemas e dados. Ao estabelecer uma cultura de segurança forte, você pode capacitar seu pessoal a tomar medidas simples, básicas e poderosas para oferecer à sua organização uma importante camada adicional de defesa contra ataques cibernéticos.