Artigos
Seis passos para criar uma cultura de segurança
02/12/2016
A tecnologia atinge a todos os funcionários dentro de uma organização, não apenas aqueles do departamento de TI. A segurança não deve ser diferente e o comprometimento deve ser de cima para baixo.
O estado da cibersegurança corporativa é tudo menos estático. Com a lista de potenciais ameaças de diversificação, as apostas são altas para proteger os sistemas e dados da empresa. À medida que o custo médio de uma violação de dados cresce (atualmente estimado em US$ 4 milhões), o apetite dos líderes empresariais pelo risco diminui. No entanto, menos da metade dos profissionais de segurança da informação sentem que as defesas de sua empresa estão completamente adequadas, de acordo com a pesquisa da CompTIA.
Ao contrário do que alguns líderes empresariais podem acreditar, a proteção da infraestrutura e da propriedade intelectual de sua organização não começa com o investimento em um firewall. Começa com a inclusão da cibersegurança na cultura da sua empresa. A tecnologia alcança todos os funcionários dentro de uma organização, não apenas aqueles do departamento de TI. E com a segurança não deve ser diferente, é necessário um compromisso que envolva todos na organização, de cima para baixo.
Aqui estão seis passos que podem ajudar a definir o tom para uma força de trabalho mais vigilante e responsável:
1. Repensar o organograma da sua diretoria: criar um chief security ou o papel de um chefe de segurança da informação, e que essa pessoa possa influenciar a abordagem de segurança da sua organização. Ao permitir que seu principal líder de segurança trabalhe diretamente com o CEO, ele se beneficia de maior visibilidade nas operações da empresa e na tomada de decisões. Ele também envia uma mensagem clara para toda a organização que a segurança cibernética não está isolada no departamento de TI.
2. Priorizar o conhecimento do usuário final: embora muitos profissionais de TI sintam que os funcionários de suas organizações têm uma compreensão sólida da segurança, pesquisas e incidentes da vida real contam uma história bem diferente. Globalmente, mais da metade das organizações relatam que o erro humano é um importante contribuinte para violações de segurança e incidentes relacionados. A raiz do problema é a falta de consciência do usuário final. Treinamentos básicos durante a fase de adaptação de um novo funcionário não são suficientes para incutir novos hábitos. Os líderes empresariais devem demonstrar o seu comprometimento com uma robusta formação do usuário ─ final a partir de cursos de e-learning até exercícios de simulação de phishing ─ e apoiá-lo com os recursos necessários para financiá-lo.
3. Estabelecer as métricas corretas: Um dos maiores desafios para implementar novas iniciativas é superar a crença de que as atuais estratégias e recursos são “boas o suficiente”. Os executivos de TI e de segurança podem e devem fazer mais para garantir que o protocolo de defesa de suas organizações esteja enraizado em fatos, não em sentimentos. Em parceria com especialistas terceirizados, eles podem desenvolver maneiras de avaliar a eficácia de seus esforços de segurança atuais e medi-los de acordo com os padrões da indústria.
4. Unir processos de negócios e tecnologia: Elevar a segurança cibernética a uma questão agnóstica departamental e vai além da implementação de soluções de prevenção de perda de dados ou de acesso a identidades. Trata-se de formalizar novos processos (e atualizar os existentes) por meio de uma combinação de negócios e de TI. Gerenciamento de risco e conformidade, seleção de novos fornecedores e treinamento de segurança do usuário final não podem ser práticas que os departamentos de TI descrevam e imponham aos seus colegas. Todos os líderes de negócios devem ser igualmente envolvidos na formação dessas políticas para garantir que elas sejam reforçadas e eficazes.
5. Promover uma nova perspectiva para os gastos de segurança: A segurança compreende uma única fatia do orçamento de TI. Porém, alguns líderes de negócios enxergam a segurança como algo a ser contido, investindo apenas quando necessário em momentos de crise real ou iminente. Organizações que se esforçam para promover uma cultura de segurança precisam de posições mais proativas em relação à sua estratégia e gastos. Isso significa posicionar a cibersegurança como uma oportunidade de investimento, e não como um item de linha relutante.
6. Incentivar a responsabilidade: reunir apoio à novas políticas e promover a conscientização da segurança cibernética pode ser facilmente enfrentado com resistência e indiferença, então, as organizações devem ser criativas. Oferecer vantagens para os departamentos ou equipes que mais participarem coletivamente das oportunidades de educação pode motivar o pessoal não técnico a levar a sério a segurança. Da mesma forma, os funcionários que oferecem novas ideias de segurança, ou que chamam a atenção para possíveis falhas de segurança, também devem receber o reconhecimento da empresa para incentivar iniciativas semelhantes em toda a organização.
As organizações são tão seguras quanto as senhas mais fracas, os processos de governança ou os hábitos do usuário final. Quando os executivos tratam a cibersegurança como um princípio corporativo e não como um dever de TI, todos os funcionários têm uma razão para apoiar a causa.
Autor: Todd Thibodeaux.
Fonte: Computerworld.
Voltar