Com ataques cibernéticos cada vez mais elaborados, como golpes de phishing, definidos para atingir áreas específicas, toda a força de trabalho precisa estar ciente – e seguir – uma política de segurança. Construir uma cultura cibernética é vital para as empresas, pois as repercussões dos ataques cibernéticos podem ser exponencialmente caras para corrigir. Gestores estão se conscientizando de como a cultura cibernética é crucial, considerando que o erro humano contribui para 95% das violações de segurança bem-sucedidas.
O custo dos ataques cibernéticos totalizou perdas financeiras globais de mais de 1 trilhão de dólares (!!!). Devido a esses números, é evidente que algo na maneira como encaramos a segurança cibernética precisa mudar. É preciso educar a vulnerabilidade cibernética mais significativa: as pessoas.
Há aproximadamente um ataque cibernético a cada 39 segundos, mas menos de três em cada dez empresas têm uma política formal de segurança cibernética. Construir uma cultura cibernética pode ser mais fácil falar do que fazer, pois a maioria dos funcionários acredita que a responsabilidade da segurança cibernética não recai sobre todos, mas sim sobre uma equipe específica. Com essa mentalidade contrastando com a raiz de muitas causas de ataques cibernéticos, algo precisa mudar.
Cibersegurança frequentemente não está em foco
A CEO World informou que metade das empresas não forneceu aos trabalhadores remotos nenhum tipo de treinamento de segurança cibernética – um grupo cada vez mais visado por criminosos cibernéticos. 53% das empresas relataram que não têm nenhuma política de segurança de trabalho remoto. Esses números demonstram que não é surpresa que falhas humanas sejam comuns.
Saber por onde começar a construir uma cultura cibernética é um desafio. Há uma infinidade de treinamentos de conscientização cibernética desatualizados disponíveis na internet; powerpoints demonstrando os sinais de e-mails suspeitos, a necessidade de senhas complexas e o uso de redes seguras. Embora sejam aspectos relevantes, esses módulos de treinamento geralmente omitem as táticas em evolução dos criminosos cibernéticos e as novas ferramentas e ataques a serem observados.
Os desafios na construção da cultura de cibersegurança
A mudança para o trabalho remoto e híbrido representa um desafio. Funcionários remotos são regularmente alvos de criminosos cibernéticos, apresentando ameaças cibernéticas em questões de segurança física até redes e softwares WiFi inseguros. Pode ser difícil construir uma cultura com funcionários baseados em locais diferentes, em relação a treinamento, engajamento e impulso.
Um relatório da Verizon sugeriu que muitos funcionários acreditam que a implementação de políticas de segurança cibernética e a prevenção de ameaças à segurança são de inteira responsabilidade das equipes de TI e segurança. Além disso, 41% dos profissionais de TI acreditam que os funcionários estão dispostos a se envolver em comportamentos de risco com a mentalidade de que os problemas serão resolvidos por “alguém” ou que ninguém descobriria. Os funcionários também afirmaram que as políticas de segurança podem inibir seus trabalhos – esperando por aprovações de software ou acesso e, assim, restringindo a produtividade; alguns evitam esse processo sempre que possível.
Por que você precisa de uma cultura de segurança?
Ataques cibernéticos podem prejudicar uma empresa de muitas outras maneiras além de financeiramente – como perder a confiança das partes interessadas, batalhas legais e diminuição da retenção de clientes. Leis de proteção de dados pessoais, como a LGPD, podem levar as empresas violadas a enfrentarem problemas legais caros e prejudiciais à marca, com multas máximas chegando a 50 milhões de reais ou 2% do faturamento anual . Estruturas legais semelhantes a LGPD podem levar a multas ilimitadas; a Amazon foi multada em mais de 600 milhões de libras esterlinas (mais de 800 milhões de dólares) por violações do GDPR.
Uma pesquisa da Businesswire afirma que os clientes em todo o mundo parariam de comprar de uma empresa após uma violação de segurança – com 88% dos entrevistados nos EUA e 44% no Reino Unido dizendo que parariam de usar a empresa por vários meses após uma violação. Curiosamente, mais entrevistados do Reino Unido perderiam total confiança no negócio, com 41% dos entrevistados do Reino Unido afirmando que nunca retornariam à empresa, contra 21% dos entrevistados dos EUA.
Onde quer que seu mercado esteja, perder uma parcela significativa de seus clientes demonstra a necessidade de cultura de cibersegurança para evitar este resultado.
A cultura cibernética também pode beneficiar a própria força de trabalho. O treinamento que prepara os funcionários para fazer melhor suas tarefas, ajuda a aumentar a auto-satisfação no trabalho. A auto-satisfação está relacionada às taxas de retenção de funcionários e a uma força de trabalho mais produtiva e eficiente.
Construindo uma Cultura de Cibersegurança
Os funcionários devem entender e concordar com a criação de uma cultura de segurança cibernética – todas as partes precisam estar na mesma página para que isso funcione. Como passo inicial, as empresas devem abordar as preocupações das equipes para que haja um alinhamento conjunto nas mudanças de mentalidade. Por exemplo, se o consenso acredita que muitas barreiras de segurança prejudicarão o desempenho diário do trabalho, considere maneiras de diminuir as etapas e exemplifique às equipes as consequências de não fazê-lo.
Comunicação Interna
Um sistema de comunicação interna deve permitir que os funcionários relatem atividades suspeitas com facilidade, aumentando assim o engajamento da equipe. É crucial criar uma cultura de abertura que capacite os funcionários a falar sobre suas preocupações, pois muitas vezes, golpes e ataques podem levantar uma bandeira vermelha, mas não parecer uma ameaça óbvia. Nenhuma pergunta deve ser considerada errada, pois a segurança cibernética depende de indivíduos que detectam ações e vulnerabilidades suspeitas para corrigi-las. Os colaboradores que contribuem devem ser recompensados e reconhecidos, para incentivar esse comportamento e atrair outros colaboradores a fazerem o mesmo.
Treinamentos
O treinamento é uma etapa vital para educar as equipes sobre ataques cibernéticos e como evitá-los. Este processo deve ser divertido e gratificante, para manter o entusiasmo e a participação – não uma simples apresentação e pregação. O treinamento interativo geralmente apresenta os melhores resultados.
Os profissionais de segurança cibernética também se beneficiam de treinamento regular para aprimorar e manter-se à frente das ameaças cibernéticas em evolução e das novas táticas de ataque.
Ferramentas de Segurança
As ferramentas de segurança são essenciais para a linha de defesa cibernética – embora não protejam contra todas as possibilidades de ataque. As ferramentas de gerenciamento de informações e eventos de segurança (SIEM), referem-se a tecnologias usadas para detectar ameaças, conformidade e gerenciamento de incidentes de segurança, analisando fontes de dados e eventos de segurança. As ferramentas SIEM que incorporam o aprendizado de máquina incrementam, e muito, os recursos de detecção e resposta de ameaças dos funcionários, aumentando a probabilidade de detecção precoce e mitigando danos. O uso de um conjunto de ferramentas compreensíveis que os funcionários gostem de utilizar, ajuda a armar as equipes para combater ataques. Também é essencial gerar um entendimento compartilhado de atualização de software e instalação de patches imediatamente, para restringir os caminhos que os criminosos cibernéticos podem explorar.
Segurança no Trabalho Remoto
Trabalhar remotamente apresenta inúmeras possibilidades de violação, incluindo o uso de dispositivos pessoais, redes WiFi inseguras e falta de monitoramento de funcionários por equipes de segurança. Atentos aos protocolos de segurança reduzidos em todas as empresas, os criminosos cibernéticos têm mais pontos fracos para explorar. Adaptações ao trabalho remoto são necessárias para a estratégia cibernética e a construção de uma cultura, como softwares para preencher o vazio deixado pelas barreiras de segurança interna, profissionais de segurança remotos disponíveis e treinamento específico para riscos remotos.
Os funcionários precisam estar munidos de conhecimento e conscientização cibernética e devem se sentir à vontade para relatar atividades ou erros que possam ter cometido. Além disso, os funcionários devem ter acesso apenas aos arquivos e recursos necessários para realizar seu trabalho. Sessões recorrentes de treinamento remoto são uma boa prática para as equipes discutirem dúvidas e preocupações.
