*Mileny Ferreira
Em virtude da evolução tecnológica dos meios de comunicação; ocorreram diversas mudanças na sociedade nas últimas décadas.
Com estas mudanças, os modelos de negócios também foram transformados e ampliados – muitas organizações precisaram identificar novas estratégias, formas de planejar e como consequência, obter ferramentas de otimização e maximização de produtividade para suas instituições.
Por esse motivo, a vulnerabilidade dessas organizações vem aumentando em decorrência dessas transformações digitais. Na época atual, invasões por ataques simples ou até mesmo por ataques mais sofisticados estão ocorrendo de forma crescente.
Usuário, o elo mais fraco da corrente
Golpes utilizando técnicas de engenharia social estão sendo muito aplicados pelos cibercriminosos, para induzir usuários e conseguirem acesso a informações.
As corporações acabam esquecendo que os usuários de sistemas são uma das ameaças mais significantes quanto a Segurança da Informação. Atualmente, investe-se muito em recursos externos como: infraestrutura, firewall, IDS, medidas de proteção e acabam ignorando o ambiente interno, como exemplo, a conscientização e treinamentos para os funcionários.
Quando o colaborador, começa a perceber o valor e a importância das informações na qual ele trabalha, atrelado com os mecanismos oferecidos pela organização e tem a consciência que a falta de atenção ou a ausência da proteção aos dados em suas ações pode gerar perdas ou danos para a empresa, ele intensifica o cuidado e passa a ter uma visão mais detalhada sobre aquilo que executa.
Como minimizar o impacto de ataques nas empresas
É fundamental visualizar que, a falta de segurança cibernética é muito mais do que apenas uma complicação tecnológica, ele deve ser visto como um risco ao negócio.
Vivemos em plena era da transformação digital e mudar o pensamento quanto ao investimento em segurança cibernética se tornou imprescindível. Deste modo, o tamanho da empresa não é um critério, seja de pequeno ou grande porte é necessário estabelecer um plano que invista e garanta a segurança de ativos e informações, treine as pessoas para executarem atividades respeitando os pilares de segurança e terem claro os objetivos da política interna.
Esse tema é ainda pouco discutido em muitas organizações, mas considera-se uma das melhores práticas de Gestão de Segurança da Informação, por ter como objetivo, fazer com que o usuário desenvolva uma consciência própria e saiba como proceder ao reconhecer um ataque seja ele, pessoal ou corporativo.
Sabemos que conscientizar e treinar pessoas não traz imunidade total para as organizações, porque as pessoas não são à prova de erros, mas é uma forma de minimizar a vulnerabilidade das organizações.
Como criar a conscientização voltada para Segurança da Informação?
Antes de iniciar uma campanha de conscientização, é importante que uma Política de Segurança da Informação seja desenvolvida. A PSI é o que direciona a organização no que se refere a segurança da informação. Os treinamentos e campanhas devem sempre ressaltar e frisar as normas e procedimentos interno que foram mencionados na política.
Entretanto, criar a Política de Segurança da Informação não é o bastante para atestar a segurança da empresa.
A organização precisa ter bem claro o nível de conscientização que já existe na empresa, para que não criem algo muito simples ou complexo demais e façam implantações de ações que não sejam apropriadas. Ser assertivo sobre o ponto falho e estudar quais são os princípios erros e dúvidas da organização.
Neste processo, é interessante contar com a parceria de outros departamentos da organização, como por exemplo, Recursos Humanos, Compliance e Comunicação Interna, possibilitam apoiar na execução e ideias complementares.
O ideal é que a conscientização esteja no dia a dia dos colaboradores para que seja internalizado e não se torne apenas um treinamento transitório. Há uma tendência de os profissionais esquecerem aquilo que foi aprendido e caírem em novas ameaças que até então poderão ser inéditas, por este motivo é tão importante que os treinamentos ocorram em um periodicidade determinada e sempre abordem temas diferentes.
Um programa eficiente deve ser frequente, um ponto importante é criar um canal funcional para que a organização realize o reporte de incidentes de Segurança.
Lembre-se
A probabilidade de uma corporação com uma boa campanha de conscientização instaurada, sofrer com punições e repreensões são muito mais baixas.
Quando não se investe em segurança, o resultado negativo pode se estender a danos na credibilidade, que podem afetar até mesmo parceiros que estão comprometidos com os seus negócios, destruição da imagem perante ao mercado e até perda de clientes.
*Mileny Ferreira é GRC and Information Security Consultant at [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
