O que os usuários individuais podem fazer para manter a segurança cibernética no trabalho?
Sua organização está gastando em ferramentas de segurança cibernética, você tem um programa de conscientização e, se você procurar, encontrará padrões e procedimentos para escolher e manter produtos que ajudam a manter as informações seguras. Mas o que um indivíduo pode fazer?
Lembre-se – você é a primeira linha de defesa. Fique alerta, tome cuidado.
O problema é real, grande e crescente.
No primeiro semestre de 2017, a falha de segurança de e-mails corporativos (BEC – business email compromise) é uma das maiores ameaças que uma empresa deve se proteger. De acordo com um estudo do FBI publicado em maio, o prejuízo global com golpes de BEC chegou a US$5,3 bilhões desde 2013. Não há motivos para acreditar que isso vai diminuir. Isso dá muito lucro para os bandidos. Muitas empresas ficam relutantes em notificar esses problemas, pois temem o impacto negativo que a denúncia poderia ter sobre sua reputação.
A resposta requer um esforço abrangente e coordenado.
A segurança efetiva no local de trabalho não ocorre por acidente. Ela requer supervisão e orientação. Ela requer políticas. Essas políticas devem ser ensinadas. O Diretor de Segurança da Informação lidera os esforços de criação e educação de políticas. A CISO defende que o orçamento deve apoiar esse desenvolvimento de políticas. O programa de segurança da informação requer padrões. Esses padrões devem incluir o conjunto de controles básicos e o processo de tomada de decisão para melhorar certos controles com base em outros riscos. A CISO lidera a equipe técnica no desenvolvimento desses padrões e trabalha com TI, RH e segurança do local para integrá-los aos processos de aquisição, desenvolvimento e operações da organização. A equipe de segurança da informação deve ter procedimentos para detectar um problema, lidar com uma violação, remediar as consequências da violação e informar as partes interessadas sobre o problema e sua solução. A equipe de segurança da informação, liderada pela CISO, deve se relacionar com os principais fornecedores terceirizados e com as organizações policiais apropriadas. O pior momento para construir uma relação com os investigadores é depois de um problema ter acontecido.
Mais importante, seus funcionários devem se comprometer com o programa.
Quando planejar seu programa de conscientização, leve em consideração este modelo para validar a eficácia do seu programa. Imagine um funcionário da sua organização andando pelo corredor e ele ou ela vê alguém fazendo algo no computador que pode estar errado. Faça três perguntas a si mesmo sobre esse funcionário.
|
|
Se as respostas forem “sim”, “sim” e “sim”, seu programa é eficaz. Se houver um “não”, o seu programa falhará.
Se o indivíduo não sabe quais são as práticas erradas, ela não as reconhecerá e não fará nada. Este é o xis da conscientização da segurança da informação.
Se ele ou ela decidir que ela não irá denunciar, mesmo sabendo que é errado, o programa falhará. Talvez ele ou ela tenha ficado sabendo de uma vez que alguém denunciou um problema e agora esse indivíduo foi condenado ao ostracismo. Talvez diga para seu gerente, que disseram: “Sim, isso é um problema, mas a outra pessoa não está na nossa área, então não devemos nos envolver”. Isso testa a cultura da organização.
Se ele ou ela fizer a ligação, mas a pessoa que atender não sabe o que fazer, então o programa falhou. Isso testa os procedimentos da organização.
Observe que esses resultados não dependem da tecnologia que a organização implementa. A tecnologia importa. O investimento é necessário, mas não suficiente, para proteger a empresa com sucesso. Mas, sem o nível certo de conscientização, sem a cultura certa e sem os processos certos para reforçar essa cultura, nenhum tipo de investimento será bem-sucedido.