Um dos efeitos colaterais infelizes do termo "segurança cibernética" é que ele soa muito técnico. Isso pode levar as pessoas a concluírem que não é problema delas, mas algo que é de responsabilidade de um grupo de especialistas em segurança cibernética.
O Relatório de Riscos Globais 2022 do Fórum Econômico Mundial revelou que 95% dos problemas de segurança cibernética estavam "relacionados a fatores humanos". Ou seja, não são as questões técnicas e tecnológicas as que mais colocam em risco cibernético uma organização.
Desta forma, a resposta correta para: Quem é responsável pela segurança cibernética? É, “todos”.
Mas como fazer com que “todos” entendam suas responsabilidades? Neste artigo destaco algumas dicas práticas para tornar a segurança cibernética uma responsabilidade de todos.
1. Política de uso aceitável
Uma política de uso aceitável é um bom ponto de partida. Esta política define para a equipe em geral o que eles podem e não podem fazer em termos de uso dos recursos de TI da empresa. Ela deve cobrir assuntos como, mas não se limitando, a:
Escolher senhas seguras
Não instalar software não autorizado
Uso pessoal de equipamentos da organização
Essa política tem a intenção de direcionar os funcionários, mas ela também precisa ser amparada por controles técnicos para garantir a segurança.
2. Políticas e procedimentos específicos
Como a política de uso aceitável é mais genérica, também é necessário definir os aspectos específicos de segurança cibernética relacionados a diferentes funções em uma organização.
Por exemplo, funcionários que têm acesso a dados de cartão de crédito de clientes ou dados sobre a saúde de pacientes precisam de instruções específicas sobre como proteger esses dados.
3. Segurança cibernética nas descrições de cargo
Outro lugar onde as responsabilidades podem ser reforçadas é na descrição de cargos. Muitas descrições de cargo não mencionam responsabilidades de segurança da informação, mas são um local ideal para documentá-las.
Por exemplo, um estoquista que controla o estoque de produtos utilizando sistemas informatizados, também é responsável por proteger os dados da empresa contra acessos não autorizados. Assim, como um atendente de telemarketing que acessa sistemas de CRM para registrar pedidos e reclamações de clientes, lida com dados pessoais e precisa seguir protocolos de segurança para proteger essas informações.
4. Treinamento de conscientização em segurança cibernética
Atribuir responsabilidade é apenas uma etapa da conscientização que deve ser apoiada por treinamentos direcionados. Lembre-se que uma razão pela qual tantas violações de dados têm um elemento humano é que muitos ataques cibernéticos começam com engenharia social. Por isso, o treinamento de conscientização da equipe, destinado a todos os funcionários, independentemente do cargo, deve incluir especificamente ataques de engenharia social para que os funcionários sejam capazes de reconhecê-los e responder a eles.
Além disso, funcionários com responsabilidades mais específicas precisam de treinamento direcionados. Essa abordagem de treinamento mais granular e em camadas é cada vez mais reconhecida nos padrões de melhores práticas para proteger a segurança da informação e a privacidade.
Então, quem é responsável pela segurança cibernética?
Todos, contudo não da mesma maneira. A responsabilidade de cada um deve ser atribuída e documentada de forma específica, além de apoiada por treinamentos direcionados. Por isso, uma abordagem genérica não será suficiente para enfrentar o cenário atual de ameaças ou para atender aos padrões de compliance. E é aqui que podemos ajudá-lo.
Desenvolvemos uma plataforma de treinamento focada em privacidade e segurança da informação que facilita o gerenciamento de treinamentos personalizados para casa membro da sua equipe.
Entre em contato para conhecer a nossa plataforma e capacite sua equipe para lidar com os desafios da era digital.
Julio C. Segantini
Consultor de Privacidade e Proteção de Dados
Profissional com mais de 35 anos no mercado de TIC e 20 anos em consultoria empresarial. Possui pós-graduações em Marketing, Perícia Forense Computacional e Consultoria Empresarial, além de um MBA em Negócios Digitais e Inteligência Financeira. Sua expertise em gestão e tecnologia aliados a suas certificações internacionais em privacidade e proteção de dados o torna um profissional completo e altamente qualificado para auxiliar as empresas em seu compliance com a LGPD.
Comments