Cultura de segurança explicada
Se você está lendo isso e não vive debaixo de uma rocha, sabe que a segurança organizacional é importante. Mas, atualmente, o termo “segurança organizacional” significa muito mais do que no passado.
Não é tão simples quanto instalar uma solução antivírus altamente cotada nos computadores dos funcionários e encerrar o dia.
Pode-se contratar as melhores pessoas de segurança de TI, comprar o software mais seguro e adquirir os serviços com as práticas mais seguras e privadas, e ainda não é suficiente.
Mesmo organizações de alto perfil com todos os recursos à sua disposição não estão imunes a erros.
O que falta a essa organização e a muitas organizações como ela é uma verdadeira cultura de segurança.
O quê?
Uma cultura de segurança são os hábitos coletivos dos funcionários que se envolvem em defesas de segurança e ajudam ativamente a proteger uma organização.
Quando todos na sua equipe, desde pessoas de nível básico até seu CFO, têm interesse na segurança dos dados operacionais, você criou uma cultura de segurança. Como eu disse antes, no entanto, é muito mais do que computadores e software.
Quando a maioria das pessoas pensa em segurança, elas pensam em dispositivos. Temos que bloquear os dispositivos!
Mas a cultura de segurança se concentra no comportamento humano porque é igualmente importante.
O erro humano continua sendo uma das principais causas de violações de dados em todo o mundo. Em outras palavras, as empresas afetadas podem ter sua segurança de hardware em vigor, mas é o elemento humano que causa problemas no final.
Então, como evitamos os erros?
A maioria das pessoas quer fazer a coisa certa. Em uma cultura de segurança, você ensina às pessoas a coisa certa, então, quando elas se deparam com decisões, sua escolha padrão é a correta.
Crie uma cultura
Há muitas coisas que você pode fazer para criar uma cultura de segurança. Vamos discutir apenas alguns.
Quando você constrói algo, o primeiro passo normalmente envolve preparação ou colocar as coisas no papel.
Uma cultura de segurança não é diferente.
Para começar, elabore as políticas da empresa.
Envolva todos os líderes de equipe – incluindo os das equipes de privacidade, segurança e RH – e dê às pessoas a orientação de que precisam. E torne as políticas razoáveis. Diretrizes que tornam o trabalho de seus funcionários mais difícil não serão eficazes, não importa o quão seguros eles possam parecer.
Por exemplo, vamos examinar uma política padrão de senha corporativa (a propósito, isso é real).
Cada senha mínima de 14 caracteres precisa ser complexa – uma façanha que é difícil o suficiente para os seres humanos alcançarem sozinhos – e não pode ser usada mais de uma vez.
Agora, quando você considera que o endereço de e-mail médio dos EUA está associado a cerca de 130 contas on-line, são 130 senhas complexas e exclusivas.
Ah, e você precisa trocá-los a cada 90 dias ou mais. Como alguém pode cumprir isso? Eles gravam suas senhas no papel, o que também é contra a política (espero).
Políticas de senha são apenas um exemplo, mas isso me leva muito bem ao próximo ponto: Dê às pessoas o que elas precisam para ter sucesso. Software e serviços de produtividade que suportam práticas mais seguras facilitam as decisões relacionadas à segurança (ou desnecessárias).
O 1Password, como um exemplo aleatório, é um gerenciador de senhas seguro que tornaria as preocupações com senhas uma coisa do passado.
Sua equipe também precisa de treinamento. A educação incute confiança e muda hábitos para melhor. Esteja aberto a conversas sobre como as pessoas querem aprender.
Funcionários capacitados são muito mais propensos a abraçar a cultura e praticar hábitos conscientes.
Depois de criar uma cultura de segurança, você precisa sustentá-la, e o reconhecimento dos funcionários pode ajudar.
Mesmo um anúncio informal sobre questões recentes que foram trazidas à atenção da equipe de segurança pode aumentar o engajamento e deixar as pessoas mais entusiasmadas em compartilhar o que encontram.
Isso também pode ajudar a manter as linhas de comunicação entre a equipe de Segurança e o resto da empresa, o que é importante. As pessoas precisam se sentir encorajadas a fazer perguntas e expressar preocupações sem julgamento.
Parcerias entre membros da equipe de Segurança e líderes de equipe também podem ser úteis.
Mas não pare por aí! Continue a oferecer treinamento e outras oportunidades de aprendizado, e mantenha a documentação e os recursos à mão e atualizados para que sua cultura só possa crescer e prosperar.
Pelos números
As estatísticas em torno deste assunto são obscuras na melhor das hipóteses. Em 2014, a IBM informou que o erro humano foi a causa de impressionantes 95% das violações de dados. No ano passado, eles baixaram sua estimativa para 23%. Também em 2020, um estudo conjunto realizado pela Universidade de Stanford e pela empresa de segurança Tessian o colocou em 88%.
A Verizon quase concorda. Outros têm isso em algum lugar no meio.
Mesmo que o erro humano seja responsável por apenas um quarto de todas as violações de dados, isso é bastante significativo – especialmente considerando que é algo que podemos melhorar facilmente (relativamente falando).
E essa melhoria pode ter mais benefícios do que apenas segurança organizacional. Comunicação aberta entre equipes e melhor moral são coisas que você deve almejar em geral.
Quando você cria uma cultura de segurança, reduz muito o risco de ser uma estatística. Tudo será absolutamente perfeito, o tempo todo? Não. Esforce-se pelo progresso, não pela perfeição.
Mas políticas razoáveis, ferramentas úteis, confiança e educação ajudarão sua equipe a tomar as decisões certas quando as coisas derem errado.
Por: Megan Barker | 1Password |
Gustavo Saez