Guia definitivo com 5 passos para criar uma cibercultura de segurança dentro da empresa.
O custo destas violações de dados ultrapassam a cifra de 3 milhões de dólares por empresa.
Além disso, o impacto destes acontecimentos, tais como tempo de detecção e custos de reparos, e, sem contar o impacto negativo de ter que prestar contas destes fatos aos clientes, geram repercussões péssimas na reputação do negócio.
Nós aqui do Gestor Técnico possuímos um conceito de cultura de segurança, mas também gostaríamos de compartilhar com vocês o que é cibercultura e sua importância para a TI dentro de sua empresa.
Então, você sabia que mais da metade dos malwares envolvidos em violações de dados foram instalados através de um anexo de e-mail ?
Você sabia que o ataque de Phishing permanece como uma escolha quase que unânime para os cibercriminosos ?
Você sabia que o ataque Phishing é bem sucedido porque os cibercriminosos usam nosso próprio comportamento contra nós mesmos em uma guerra psicológica ?
Você sabia que problemas com senhas fracas ou fáceis de adivinhar facilitam enormemente os ataques de hacking ?
Ok, então como podemos mitigar este problema ? Como parar um cibercriminoso ou um ataque cibernético ? Teremos alguns exemplos de cibercultura por aqui ?
Sim, pra início de conversa, eu acho que temos de começar a abordar o cibercrime por uma perspectiva tecnológica, mas também temos de pensar no lado humano da coisa também.
Cibercriminosos se alimentam de nosso próprio comportamento, e usa-o contra nós mesmos. Conseguem nos enganar executando ações que parecem ações legítimas, mas não são !
Se você pensar por este lado, desta forma não é possível resolver este tipo de problema com soluções tecnológicas, precisamos pensar no aspecto do comportamento humano. Então, isto pode ser conseguido através da criação de uma cultura de segurança dentro da empresa. Concorda comigo ?
Bem, vamos por partes, se você conhece pelo menos razoavelmente o que está enfrentando você mesmo pode implantar procedimentos para proteger-se.
Qual a definição de cibercultura de segurança ?
Saiba que uma cibercultura de segurança é aquilo que incorpora todos os envolvidos em uma empresa pequena ou de grande porte, e isto é uma coisa que realmente se estende para "todos" dentro da empresa, até para clientes e colaboradores.
Saiba que uma cibercultura de segurança é aquilo que incorpora todos os envolvidos em uma empresa pequena ou de grande porte, e isto é uma coisa que realmente se estende para "todos" dentro da empresa, até para clientes e colaboradores.
Uma cultura de segurança dentro da empresa é embasada pelo uso, treinamento e conscientização da segurança dos dados, além de uma atitude ou postura vindo de cima para baixo.
Logo abaixo, cito uma lista com 5 conceitos que você precisa reflexionar ao tentar criar uma cultura de segurança em sua empresa. O que eu pessoalmente chamo de cibercultura na educação.
1 - Em primeiro lugar, pense em educação:O conhecimento é poder, e a educação sobre o cibercrime e seus típicos cenários de ataques são uma parte categórica em qualquer programa de treinamento de conscientização sobre segurança.
Toda a empresa precisa ser potencializada e alimentada, assim como seus hábitos e treinamento devem ser feitos usando uma abordagem de cima para baixo.
Gerentes precisam ser os defensores desta cultura de segurança para o treinamento tomar parte como uma política da empresa.
Esta educação em torno da segurança deveria ser estendida a todos que podem representar um risco para a sua empresa, compreendendo todos os funcionários, colaboradores e até mesmo clientes.
2 - Entenda que sua empresa depende de você também !
A segurança é um problema de todos nós. Então fica fácil de entender que qualquer um pode tornar-se o elo mais fraco na defesa de cibersegurança da empresa.
Pense naquele usuário que insere seus dados de login em um site que parece ser um site legítimo. Imagine aquele usuário lá do almoxarifado que simplesmente clicou sobre um link que instalava ou direcionava a algum malware ? Coisa normal de acontecer, não é ?
As pessoas envolvidas na empresa deveriam possuir uma visão mais abrangente onde elas passariam a reconhecer que possuem uma parte e responsabilidade na cultura da empresa, além do impacto que elas pessoalmente podem ter na segurança da empresa.
3 - Efetue palestras e apresentações sobre riscos e segurança:
Fazer uso de palestras e apresentações de treinamento de conscientização de segurança poderá dar uma boa noção para aprender e compreender de onde os riscos podem vir ou do que pode acontecer.
Uma boa apresentação e/ou palestra acerca do assunto cibersegurança pode ser efetuada numa mistura baseada em sala de aula/curso.
Ao final, pergunte se alguém possui alguma dúvida, distribua uma folha teste com perguntas e respostas múltipla escolha. Faça apresentações semestralmente ou quando achar necessário.
Estas apresentações ou mini cursos devem cobrir todos os aspectos da segurança desde ataques de phishing e segurança online até a segurança das estações desktops da empresa.
Procure pensar também no fator humano, é fundamental !
Você pode implantar cenários de ataques de phishing simulando a solicitação de dados só para ver como se saem as pessoas de sua empresa. Depois você pode refazer o treinamento ou apresentação para poder passar novas instruções sobre o assunto.
4 - Foco e mensuração:
O treinamento de conscientização de cibersegurança e a cultura de segurança são coisas bem mensuráveis. Então, procure medir de alguma forma o alcance das informações que você tem passado, assim como a absorção de suas informações.
Lembre-se de nunca punir ninguém por demorar a aprender, mas sim dedique-se mais aquela pessoa.
Tente focar em como melhorar sua própria didática, afinal de contas nós todos somos diferentes com estilos diferentes de aprendizagem, cada pessoa é uma pessoa, e, são usuários apenas !
5 - Não deixe os usuários esquecerem:
Os funcionários precisam se sentir mais fortalecidos após receberem seu curso, eles precisam agora ajudar a desempenhar sua função na prevenção de uma violação de segurança.
Isto basicamente é uma cultura de segurança como um estado de espírito, e se for feito corretamente, pode tornar-se até parte do modo de vida de uma empresa.
O que não podemos esquecer é que cibercultura é algo que deve ser lembrado sempre, pois é parte de um processo contínuo de aprendizado e treinamento.
Os cibercriminosos dificilmente cansam. Eles desenvolvem novos e mais sofisticados métodos para nos enganar, e também novas técnicas de invasão.
Todos os elementos de uma cultura de segurança precisam ser cultivadas como parte de um processo contínuo. O treinamento deve ser repetido regularmente como eu disse anteriormente.
Conclusão:
Provavelmente este ano teremos muito mais ciberataques contra as empresas, sejam elas de qualquer tipo ou tamanho. Muitos destes ataques manipularão comportamentos. Uma cultura de segurança é sobre comportamento e pensamento seguro. Se você se conscientizar disto, poderá salvar sua empresa e reputação.
Ajude o blog com um PIX de R$1,00 ou R$2,00 para contato@gestortecnico.net
O Gestor Técnico fornece acesso gratuito a todos os seus artigos, acreditamos que nós fornecemos valor ao leitor criando conteúdo especializado para profissionais.
Nenhum comentário :
Postar um comentário
Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !