Desenvolver uma cultura de ciberconsciência deve integrar a estratégia de cibersegurança de longo prazo de todas as empresas. A realidade, porém, é que muitas vezes as empresas se limitam ao oferecimento de treinamentos básicos de cibersegurança para as equipes. Sem dúvida, a construção dessa cultura não se dá de repente, de um dia para o outro. Mas por onde começar?
O sucesso das medidas de cibersegurança em uma empresa não depende apenas de especialistas da área ou administradores de TI, mas também de cada indivíduo com acesso aos sistemas de TI – desde quem está na direção executiva até as equipes, estagiários e colaboradores externos. Em resumo, todos somos, em alguma medida, responsáveis pela proteção de dados de uma empresa.
Pense em uma cultura de ciberconsciência como fruto da cooperação de todas as pessoas de uma organização. Cada pessoa pode contribuir de alguma forma para o seu desenvolvimento.
Caso você seja responsável pela cibersegurança de sua empresa, essa abordagem ajuda a garantir que todas as pessoas que fazem parte dela compreendam a importância de adotar um comportamento on-line seguro e fazer uso adequado dos dispositivos corporativos.
1) Certifique-se de que todos sabem o que fazer e o que não fazer.
Não é tão simples quanto parece. Em todas as empresas, há indivíduos que ignoram as mensagens de atualização do software do dispositivo ou aqueles que não têm cuidado quanto aos aplicativos baixados nos dispositivos da empresa. É possível que ajam dessa forma por não saber que determinados aplicativos podem causar danos ou apenas porque estão muito ocupados para considerar esse aspecto, e consideram responsabilidade do departamento de TI lidar com todos esses problemas e riscos.
As políticas das empresas variam em relação às restrições ou liberdades de cada indivíduo ao lidar com seus dispositivos eletrônicos. De qualquer forma, a melhor maneira de prevenir incidentes é explicar a todas as equipes sobre os riscos e como os evitar, desde o início. Por outro lado, certifique-se de fornecer orientações detalhadas sobre como agir em caso de incidentes. Garanta que as equipes estejam cientes das ações necessárias e a quem devem comunicar eventuais incidentes.
2) Invista tempo em treinamento de qualidade, em cooperação com especialistas de outras áreas.
Como especialista em TI, você deve conhecer a natureza técnica dos ciberataques, bem como as situações em que esses incidentes ocorrem. Mas esse conhecimento não é suficiente para um treinamento realmente eficaz. “A solução é encontrar alguém que saiba oferecer informações às equipes de forma clara e interessante”, afirma Daniel Chromek, diretor de segurança da informação da ESET, em uma entrevista sobre a construção de uma cultura de ciberconsciência.
A criação de um programa formal de treinamento em cibersegurança na sua empresa é, sem dúvida, um bom começo. Entretanto, para garantir que a mensagem seja recebida, outras medidas são necessárias. Inclua especialistas em pedagogia, psicologia e design gráfico no treinamento, que podem auxiliar a transmitir informações importantes de maneira impressionante e divertida.
Profissionais da psicologia ou coaches experientes podem trazer elementos interessantes ao treinamento – por exemplo, o conhecimento do trabalho da psicologia social pode auxiliar a compreender as formas como a tecnologia afeta a interação social, atitudes e comportamento. A engenharia social se utiliza de medo, pressão em termos de tempo e chantagem; portanto, é importante entender esses contextos.
3) Utilize exemplos de incidentes para ilustrar os danos que podem ser causados por um ciberataque.
Caso ocorra um incidente de cibersegurança em seu local de trabalho, use-o como ferramenta para instruir ainda mais as equipes e gerentes. Assim, é possível melhorar significativamente a conscientização sobre cibersegurança em toda a organização. Abordar o incidente ocorrido permite ilustrar como um ciberataque pode se manifestar atualmente, por que é tão eficaz e quais são as possíveis consequências.
O boletim informativo corporativo pode ser um meio interessante de comunicação sobre o assunto. Porém, caso o canal de comunicação mais comum dentro da empresa seja outro, como o Microsoft Teams ou o Slack, aproveite essas opções.
4) Acompanhe as tendências do cibercrime.
Uma das funções dos responsáveis pela gestão de TI é acompanhar os eventos relacionados à cibersegurança. Considerando que os ciberataques estão em constante evolução, é necessário acompanhar as notícias e tendências mais recentes.
Uma forma simples é criar o hábito de acompanhar uma plataforma profissional respeitável, como o blog WeLiveSecurity da ESET, que emite alertas frequentes sobre novos tipos de ciberataques e fornece dicas de proteção.
Caso haja alguma notícia mais importante, repasse-a a todas as equipes. No entanto, seja razoável quanto à frequência e importância desses alertas, para que as pessoas não percam o interesse rapidamente.
5) Teste a conscientização a respeito da cibersegurança geral.
Há diferentes formas de fazer esse teste, mas todas devem ser baseadas no conceito de treinamento a longo prazo, refletindo os problemas atuais de cibersegurança.
Caso esteja no início da construção da cultura de ciberconsciência da sua empresa, como ocorre com frequência, não há problema. Considere o seguinte conjunto de perguntas para utilizar na instrução das equipes, podendo adaptar ou adicionar as suas próprias. Uma ideia é oferecer um prêmio simbólico para quem participa. Esse questionário pode auxiliar a evidenciar algumas lacunas na conscientização de segurança da sua empresa e avaliar o que precisa ser abordado nas próximas etapas.
