São Paulo/SP – 02 de janeiro de 2023. Por meio dos treinamentos de Segurança da Informação será possível engajar colaboradores para evitar riscos, demonstrando que todos são partes fundamentais em um SGSI – Sistema de Gestão de Segurança da Informação.
*Por Leandro Zilli
Vivemos em um momento em que é visível a crescente onda de ataques e ameaças cibernéticas, e com o advento da pandemia, essas ameaças se tornaram uma das maiores preocupações das empresas brasileiras. Uma prova disso é o levantamento feito pela seguradora Allianz entre os meses de outubro e novembro de 2021, onde os empresários brasileiros apontaram os ataques cibernéticos como um dos principais riscos para os negócios em 2022 sendo pelo 2º ano consecutivo nesta pesquisa o principal motivo de preocupação das empresas, superando até mesmo a própria pandemia da COVID-19 que ficou na sexta colocação.
Mesmo com adoção de dispositivos de proteção, sabe-se que os riscos cibernéticos sempre estarão presentes e que medidas técnicas e administrativas devem ser constantemente tomadas, fato que demonstra a importância da Segurança da Informação e seu importante papel na proteção da imagem e reputação da empresa, afinal é sabido que além do receio dos dados serem vazados a confiabilidade tem sido um dos principais fatores na relação entre cliente e consumidor.
TREINAMENTOS E CONSCIENTIZAÇÃO EM SI:
Uma frase corriqueira no mundo de Segurança da Informação é “O elo mais fraco da corrente da cibersegurança é o ser humano”. Nem sempre a sentença está descrita desta forma, mas o entendimento é o mesmo.
Diante disso, um importantíssimo fator que as empresas devem considerar no planejamento anual de Segurança da Informação é a realização de treinamentos e campanhas de conscientização junto aos colaboradores. Por meio dos treinamentos será possível engajar colaboradores para evitar riscos, demonstrando que todos são partes fundamentais em um SGSI – Sistema de Gestão de Segurança da Informação.
A conscientização dos colaboradores sobre os processos ligados a Segurança da Informação permitirá que estes compreendam seu papel e responsabilidades reforçando assim os cuidados que devem ser tomados dentro e fora da empresa.
RELAÇÃO COM LGPD:
Levando em conta que ações ligadas a Segurança da Informação e medidas para evitar vazamentos de informações estratégicas ou confidenciais não estão exclusivamente ligadas a utilização de recursos tecnológicos, como por exemplo smartphones e sistemas corporativos, a LGPD – Lei Geral de Proteção de Dados, traz um importante ponto sobre a proteção de dados conhecido como DPO – Data Protection Officer (Encarregado de Proteção de Dados) que tem como uma das atribuições “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;” – segundo artigo 41.
Segundo o Relatório de Ameaças Cibernéticas da SonicWall de julho de 2022, compilado pelo SonicWall Capture Labs, existe um aumento em 11% no volume de malware global e mesmo com uma incidência maior desse aumento na região da Europa, o Brasil está no top 10 dessa lista, ocupando a segunda colocação e ficando somente atras dos Estados Unidos.
Esses fatores reforçam que a criação da cultura de Segurança da Informação deve ser considerada como um investimento de longo prazo, que requer constante esforço para manutenção e crescimento, sendo periódicas as revisões dos controles dos ativos de proteção e presentes os treinamentos.
O que considerar em Campanhas de Conscientização?
A primeira iniciativa pode ser “olhar para dentro de casa”. É fundamental abordar e divulgar as boas práticas e políticas de Segurança da Informação presentes na empresa, permitindo que os colaboradores entendam o seu papel e a importância de sua participação nessas iniciativas.
Um tema relevante para treinamentos de Segurança da Informação, atendendo tanto a “Assuntos “básicos” a serem abordados” como “Tendências de ameaças cibernéticas globais”, é a conservação e utilização de senhas das credenciais de acesso (e-mail, sistemas corporativos, VPN, etc.), visto que, de acordo com o relatório de 2022 da NordPass, onde foram levantadas as 200 senhas mais comuns, provou-se ser necessário menos de 1 segundo para “quebrar” a maioria das top 10 senhas presentes no relatório.
Além de dimensionar e planejar o Programa de Segurança da Informação, é necessário identificar quais assuntos/temas de relevância e ferramentas a serem consideradas, como plataformas interativas que estão prontas para utilização e que abordam os principais assuntos de Segurança da Informação ou que permitem a customização.
Outra tendência que tem uma boa adesão considerando a dinâmica e aceitação por parte dos colaboradores, é o conceito de gamification (gamificação), que pode ser entendido como “…utilização de conceitos relacionados ao universo dos jogos…” ou “…aplicar elementos de jogos em contextos fora do lazer…”, onde as etapas remetem ao convite à participação (a experiência e expectativa para o participante), regras, metas, feedback e recompensas.
Independente do formato e abordagem utilizada, os treinamentos devem gerar relatórios assertivos que possibilitem a identificação da adesão e de ações que necessitam de maior atenção, por exemplo casos de scores baixos, onde é necessária uma abordagem diferenciada afim de cobrir o GAP identificado.
CONSIDERAÇÕES FINAIS:
É fato que o instinto das pessoas é o de tentar “driblar” os controles presentes, muitas vezes por pensar que o caminho mais fácil é menos burocrático, sem levar em consideração os riscos que podem comprometer o tripé CID (Confidencialidade, Integridade e Disponibilidade), por isso os treinamentos de Segurança da Informação não devem se basear somente na utilização de dispositivos de proteção para mitigação dos riscos, é fundamental que a cultura de Segurança da Informação esteja presente nas organizações, fato que, como visto ao logo do texto é possível através dos treinamentos e da conscientização dos colaboradores sobre a importância que têm em um SGSI eficiente.
— Leandro Zilli é Consultor de GRC na Safeway
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
