O Elemento Humano Crítico na Estratégia de Cibersegurança
A complexidade da segurança cibernética cresceu exponencialmente conforme o número de dispositivos digitais interconectáveis aumentou. Como as infraestruturas de computador interdependentes suportam quase todas as organizações hoje, proteger os dados digitais tornou-se crucial.
Trinta e sete por cento dos CEOs pesquisados afirmam que o risco significativo reside nos negócios estendidos e nos principais parceiros empresariais. E as medidas preventivas por si só não são mais suficientes. O novo ambiente exige monitoramento vigilante e inovação criativa. Requer a participação de todas as partes interessadas.
O elemento humano é a chave. O quão bem você analisa, treina e equipa os funcionários vai fazer ou quebrar seu sistema de segurança cibernética, sua reputação com clientes e parceiros e talvez até mesmo seu próprio negócio.
Enquanto 89% dos executivos acreditam que os funcionários protegerão as informações com responsabilidade, 22% afirmam que seus funcionários não estão cientes das políticas de dados externos. Os dispositivos de maior risco são telefones celulares da empresa (50 por cento), laptops da empresa (45 por cento) e dispositivos de armazenamento USB (41 por cento).
Em seu relatório sobre 2018 Visualizações do C-Suite , NO. Kearney descobriu que 85 por cento das empresas sofreram violações de segurança no ano passado. Em resposta, apenas 40% elaboraram e implementaram estratégias de segurança cibernética.
Além de focar nos funcionários, é importante trazer toda a cadeia de suprimentos a bordo. Os líderes corporativos citam quatro táticas principais para garantir a segurança cibernética viável:
- Medidas abrangentes de segurança da informação,
- Contratação de profissionais de TI altamente qualificados,
- Análise de comportamento de cibersegurança e
- Programas de treinamento de funcionários.
O novo paradigma para a segurança cibernética é envolver, convencer, educar, converter e recompensar. Os usuários finais são frequentemente estereotipados injustamente como não cooperativos, avessos ao controle e indispostos a mudar o comportamento. Ao mesmo tempo, eles são o elo mais fraco na segurança cibernética. Até mesmo especialistas técnicos profundos podem ser tão vulneráveis quanto usuários regulares menos treinados e preparados.
Um exemplo da vida real:anos atrás, como CISO de uma operadora sem fio na América do Sul, recebi a tarefa de reduzir o número crescente de vazamentos de dados. Um executivo sênior recomendou a aplicação severa das políticas de segurança. Os usuários finais, disse ele, não se comprometeram com a segurança e não responderam às campanhas para melhorar os controles internos.
Decidi assumir uma postura contrária. A experiência me convenceu de que, para criar soluções viáveis, tínhamos de envolver todas as partes interessadas - cada indivíduo impactado por políticas, tecnologias e decisões - não apenas aqueles que ocupam cargos de diretoria.
Em vez de punir os usuários finais e focar exclusivamente em impor controles, convocamos uma série de reuniões com funcionários para compartilhar as melhores práticas, determinar seus pontos fracos e fornecer orientações passo a passo sobre como empregar adequadamente as ferramentas de segurança.
Descobriu-se que muitas políticas de segurança estavam desatualizadas devido a uma série de fusões. Além disso, os usuários estavam lidando com uma prática complicada de expiração de senha de 30 dias ao escrever seus códigos de acesso em notas de post-it. Pessoas mal-intencionadas, portanto, têm obtido acesso não autorizado.
Com base no feedback dos funcionários, atualizamos as políticas e reescrevemos procedimentos e padrões para que fossem relevantes e claros. Os scorecards foram usados para rastrear o progresso e um sistema de recompensas foi instituído. O vazamento de dados caiu e um ciclo de feedback foi estabelecido entre os usuários e o departamento de segurança para manter o programa relevante. Os usuários finais foram incluídos no processo, com ciclos educacionais para identificar problemas em potencial.
A experiência reconfirmou que um processo de design centrado nas partes interessadas e no ser humano, baseado em envolver, educar, converter e recompensar em vez de punir, produz as soluções de segurança cibernética mais abrangentes e sustentáveis.
J. Eduardo Campos dirige a consultoria da Embedded-Knowledge Inc.
Tecnologia industrial
- A segurança na nuvem é o futuro da cibersegurança
- Temperaturas críticas para supercondutores
- Os benefícios dos acoplamentos mandíbula em cisalhamento
- Desenvolvimento de uma estratégia de segurança cibernética de infraestrutura crítica
- Neurônios artificiais podem ser tão eficientes quanto o cérebro humano
- Comece com o Fim (Cibersegurança) em mente
- A chegada da cadeia de suprimentos ‘autônoma’
- Na pandemia, o compromisso das fábricas com os direitos humanos está caindo
- Aquisições e RH:Uma parceria crítica na cadeia de suprimentos
- Mês de conscientização sobre segurança cibernética:Combata o Phish