Para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios.
Milhares de artigos sobre segurança cibernética apontam que as pessoas desempenham um papel tão importante na prevenção de violações de dados quanto a tecnologia. Na verdade, de acordo com o estudo “O Custo de uma Violação de Dados”, do Instituto Ponemon, 27% das violações de dados em 2018 foram causadas por erro humano. Então, é claro que é importante envolver as pessoas em qualquer tipo de estratégia de defesa.
O mais complicado é que, como aprendemos com a lenta absorção da transformação digital, levar as pessoas a mudar é um desafio. Isso não pode ser feito simplesmente dizendo “tenha mais cuidado” ou “bloqueie seu computador”. Em vez disso, para reduzir o risco de erro humano, os líderes corporativos devem procurar transformar significativamente sua cultura de negócios.
“Não é simplesmente sobre uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo.”
Segundo o dicionário, cultura é “o conjunto de atitudes, valores, objetivos e práticas compartilhados que caracterizam uma instituição ou organização”. Não se trata simplesmente de uma pessoa fazendo um trabalho melhor; em vez disso, é sobre um foco coletivo. E não é simplesmente sobre o que fazemos. É também sobre como pensamos sobre as coisas que fazemos.
Então, se dividirmos nossos esforços para transformar a participação da empresa na segurança cibernética, devemos examinar cada uma dessas áreas e começar a pensar sobre o papel que elas desempenham na criação de uma cultura de segurança.
Se quisermos mudar as atitudes em relação à segurança cibernética, precisamos remover as mentiras e acentuar os verdadeiros componentes de risco.
Uma mentira comum é que “a cibersegurança é trabalho da TI”. Com muita frequência, as pessoas ouvem sobre segurança cibernética e pensam instantaneamente em e-mail e internet – e é claro que é tecnologia, portanto a TI consertará. Essa é uma atitude que precisa mudar. As pessoas precisam entender o papel que desempenham na proteção da organização.
Outro conceito que deve mudar é que “isso nunca irá acontecer comigo”. Isso simplesmente não é verdade. Um ataque pode acontecer a qualquer pessoa em qualquer organização. As pessoas precisam entender como esses ataques funcionam e precisam começar a ouvir as estatísticas sobre como eles são comuns:
“Lideranças em todas as linhas de negócios devem compreender a importância da segurança cibernética e devem incentivar as pessoas a tomar ações apropriadas.”
Quando falamos de valores, estamos falando de dar algo que vale a pena. Dando significado e importância às vidas daqueles que nos rodeiam. Então, se o “fator medo” não é suficiente para inspirar a ação, como darmos valor à segurança cibernética aos olhos de nossos funcionários?
Certamente, liderar pelo exemplo é fundamental. Tanto em termos de conversar a respeito, como de fornecer orçamento para os esforços da defesa cibernética. As lideranças em todas as linhas de negócios, devem compreender a importância da segurança cibernética e devem incentivar as pessoas a adotarem ações apropriadas. E, claro, elas devem fazer isso por si mesmas: você não pode dizer aos outros para alterarem suas senhas e, em seguida, reter as suas por 25 anos, porque é mais fácil assim.
Às vezes, porém, as pessoas precisam de algo mais antes de valorizar uma ideia. Pense em um esporte em que você participa e valoriza. Você falando sobre suas realizações em campo e celebrando os sucessos com sua equipe, pode encorajar outra pessoa a experimentá-lo e apoiá-lo.
O mesmo é necessário em iniciativas de segurança cibernética. As pessoas devem ser regularmente encorajadas e lembradas sobre o quão importante é o seu papel. Elas devem ser elogiadas pelo esforço dedicado. Elas precisam ser reconhecidas quando levantarem uma bandeira vermelha, admitirem um erro ou mesmo seguirem as políticas.
Todos os objetivos são medidos para serem bem-sucedidos, mas como você mede a conscientização e a compreensão em torno desse problema? Lembre-se de que se trata de mudar a cultura e, por isso, você não quer usar KPIs técnicos testados e comprovados, como número de incidentes ou custo por incidente.
Em vez disso, pense em como avaliar o envolvimento dos funcionários:
E lembre-se de que uma mudança cultural precisa ser um esforço coletivo, por isso, não mantenha os números ocultos. Você pode até celebrar um pouco o esforço: “Olá a todos, estivemos com 85% de conscientização no ano passado. Vamos ver se conseguimos atingir 92% este ano! A primeira pessoa a entregar sua pesquisa recebe um prêmio! ”
“Bloqueie a tela dos dispositivos quando você os deixar sem supervisão.”
Mudando práticas que impactam a segurança cibernética.
E, claro, há todos os componentes práticos necessários para realizar o trabalho. Práticas são todas as dicas e truques usados para combater violações de dados:
O ponto principal aqui é que é preciso mais do que apenas uma lista de verificação das melhores práticas para agilizar a criação de uma cultura de conscientização sobre segurança cibernética. É preciso que todos os componentes da cultura trabalhem juntos e se concentrem na mudança para proteger sua organização.
Fonte: Computer World