As ameaças digitais estão cada vez mais avançadas, complexas e planejadas. E não estamos falando só de código; ações de engenharia social, phishing e outros ataques focados na figura humana continuam sendo um grande problema — para o qual as empresas não estão preparadas.
Investir em ferramentas e soluções avançadas é essencial para conter essas ameaças e manter o ambiente e todos nele seguros. Inteligência, automação, capacidade de priorização, respostas rápidas e investigação devem ser diferenciais no arsenal de proteção. A questão é que um diretor de segurança da informação (CISO) hoje não pode se contentar com as ferramentas digitais nem compartimentalizar a segurança em seu departamento. Assim como uma defesa em silos perde eficiência, deixar a segurança só sob o chapéu da tecnologia da informação (TI) reduz sua eficiência.
O segredo está em manter todos engajados e para isso contar com a ajuda de outros departamentos. De novo: o foco dos criminosos vai além dos sistemas e recai sobre as pessoas, especialmente no Brasil; por isso, deve haver atenção especial nesse ponto da organização. Isso significa que, para ter uma proteção eficiente, é necessário engajar todos os colaboradores, de todas as áreas, em todos os níveis. Como esse é um desafio tanto de comunicação quanto técnico, é importante contar com o suporte e a expertise do Marketing, de Recursos Humanos e do Jurídico nesse âmbito.
Uma boa estratégia é a área de TI/SI levantar os pontos-chave das práticas de segurança que todos podem adotar, passar para o Marketing criar peças e conteúdos didáticos e de fácil assimilação pelo público, enquanto o RH organiza treinamento e estimula por meio de gamification ou, ainda, contar com um parceiro estratégico para elaborar uma campanha de conscientização de segurança da informação. Atualmente, tenho elaborado muitas campanhas para atender à demanda de nossos clientes e prospects nesse sentido. Assim, o conhecimento técnico é entregue de forma organizada e tem a melhor chance de impactar positivamente o público.
Também é importante ressaltar que esse não é um esforço único; ele deve ser renovado constantemente, com updates de práticas e comunicação transparente junto aos colaboradores. Veja que não estamos falando de repetição diária dos mesmos assuntos, e sim de conteúdos relevantes, oferecidos de forma regular, mas sem excessos. Na prática, uma comunicação semanal ou quinzenal já gera bons resultados se realizada no tom certo e com informações realmente relevantes. Quando aplicamos uma campanha e treinamos os colaboradores de uma empresa, falamos da segurança de dentro de casa no sentido CPF e trazemos essa responsabilidade para o ambiente corporativo. Um exemplo: não efetuar compras pessoais com o e-mail corporativo.
Você sabia que nove em cada dez ataques de malware são propagados por meio da interação humana? Outra ideia interessante é fazer testes com a equipe logo após a realização dos treinamentos. O Phishing Insight da Trend Micro, por exemplo, é utilizado por diversas organizações para aferir o grau de atenção do público interno a ameaças via e-mail, uma ferramenta ideal para medir a eficiência dos treinamentos e da comunicação interna.
Reforçando: segurança é uma responsabilidade compartilhada e continuada, por isso não desista caso sua primeira avaliação não seja positiva. Entenda os erros, reavalie a comunicação e mantenha o fluxo de informações ativo. Assim, gradativamente, os colaboradores vão enxergar a importância no processo, terão uma postura mais consciente e vão se tornar grandes aliados no esforço de cibersegurança.
via Tecmundo