Exame Logo

Lorenna Agra: Cultura em cibersegurança

São as pessoas que devem ser educadas e conscientizadas para não utilizar a tecnologia de maneira prejudicial

(Oliver Nicolaas Ponder / EyeEm/Getty Images)
B

Bússola

Publicado em 10 de novembro de 2022 às 17h15.

Estamos vivendo uma pandemia cibernética de ataques e geralmente a primeira ideia que passa na cabeça é que precisamos investir em tecnologias e controles rígidos para que possamos ter a segurança adequada.

Mas com tanta tecnologia e frameworks porque ainda continuamos tão vulneráveis?

Veja também

“Se você acha que a tecnologia pode resolver seus problemas de segurança, então você não entende os problemas e não entende a tecnologia”. Bruce Scheiner, Secrets & Lies

O primeiro passo antes de iniciar qualquer ação de estruturação de um planejamento estratégico de Segurança da Informação, é entender a cultura organizacional, como as pessoas funcionam e os valores da empresa. Sendo crucial observar como as coisas acontecem na empresa e como as pessoas atuam para que seja possível conseguir implementar a cultura, processos e tecnologias de segurança conectados à cultura organizacional.

Também é necessário o entendimento do contexto organizacional, seus direcionadores estratégicos para que sejam definidos os objetivos de segurança em conexão com o negócio. As ações de inventariar os ativos para identificar, levantar riscos e seus cenários são necessárias para que se mantenha mais foco naquilo que é mais importante e crítico para o negócio (as chamadas joias da coroa), com a priorização adequada e para melhor decisão de direcionamento do investimento.

Mas como decidir que caminho seguir e onde agir primeiro para a entrega de segurança de forma adequada? A pesquisa Data Breach Investigations Report (2022) destaca que (Figura abaixo) “as pessoas estão envolvidas em violações em mais de 80% das vezes. "Por pessoas" pode significar uma violação devido a alguém clicando em um link em um e-mail de phishing, alguém utilizando uma senha fraca que está comprometida ou um administrador de TI configurando incorretamente sua conta na nuvem e compartilhando acidentalmente dados confidenciais com o mundo inteiro”.

Estamos então nos referindo a uma Segurança da Informação comportamental onde se torna urgente fortalecermos mais ainda o poder que as pessoas têm para que tomem as decisões corretas e com alta percepção do risco. Logo, as pessoas, e não apenas a tecnologia, precisam ser abordadas nos objetivos estratégicos de segurança. Não importa o quanto será investido em tecnologia, o fator humano deve ser a parte crítica de um planejamento de segurança porque as pessoas estão envolvidas em todas as etapas, desde as decisões, definições até as implementações. “A segurança começa e termina com as pessoas: seus comportamentos, motivações e hábitos” (Deloitte Insights)

E como estruturar um processo de conscientização, comportamento e cultura para que as pessoas vivam a segurança de maneira fluida, leve e simples? As campanhas de conscientização têm o papel principal de influenciar que as pessoas adotem comportamentos seguros. E não adianta apenas informar o que devem ou não fazer, elas precisam aceitar que é relevante a informação que estão recebendo e entender o porquê.

Mudar o comportamento das pessoas é algo que leva tempo. Formar uma coalizão com pessoas que “comprem” a mudança para uma cultura de segurança, tenham experiência e o poder de influência e inspiração ajudará na replicação e na transformação da cultura organizacional, pois tem que ser contínuo, com comunicação efetiva, ações com cadência adequada, de acordo com o público alvo e monitoramento contínuo.

E como saber se estamos indo no caminho certo? Como diz Peter Drucker, se você não pode medir, você não pode gerenciar. É importante estabelecermos métricas e realizarmos análises de maturidade para alcançarmos um programa de conscientização, comportamento e cultura maduro com capacidade para identificar, gerenciar e medir o risco humano.

Ao utilizarmos um framework para avaliarmos a maturidade em conscientização em segurança possibilita conhecermos onde estamos, onde queremos chegar e o que precisamos fazer para chegar lá. Para avaliação da maturidade do programa de conscientização, comportamento e cultura podemos utilizar o modelo de maturidade da SANS. O modelo é composto por cinco níveis que medem a efetividade, o alcance e os impactos dos programas de conscientização em cibersegurança.

Em resumo, é preciso treinar e conscientizar as pessoas, medir e avaliar o programa de conscientização, comportamento e cultura para construirmos um ambiente seguro. “As pessoas devem ser o elo mais forte da corrente. Só precisam estar empoderadas, com conhecimento para isso. Com as pessoas agindo naturalmente de forma segura, aí se tem uma cultura de segurança” (Rodrigo Jorge).

*Lorenna Agra é coordenadora de TI do CESAR.

Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube

VEJA TAMBÉM:

Acompanhe tudo sobre:seguranca-digital

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Bússola

Mais na Exame