As vantagens de fortalecer a conscientização em segurança da informação. Ferramentas de monitoramento de rede, instalação de antivírus, sistema de varredura, uso de firewall, revisão de código, scanners que inspecionam registros de log. São muitas as medidas técnicas em segurança da informação que contribuem para evitar que vulnerabilidades sejam exploradas ou que incidentes aconteçam no ambiente corporativo. Mas nem sempre o maior risco à segurança é lembrado: o ser humano. E, muitas vezes, a falta de uma cultura de segurança da informação pode gerar impactos tão negativos a uma instituição que nenhuma tecnologia avançada de proteção é capaz de mitigar.
A conscientização sobre a importância da segurança da informação em uma empresa pode ser o método mais eficiente para prevenção de ataques e os executivos dessa área estão olhando cada vez mais para o assunto. Segundo a pesquisa CISO Benchmark Study de 2019, recentemente divulgada pela Cisco, que contou com a participação de mais de 3.200 líderes de segurança de 18 países, 39% dos entrevistados afirmaram realizar treinamentos de conscientização sobre segurança com os funcionários. A porcentagem representa um avanço para inspirar outras empresas (e seus executivos) a refletirem sobre o assunto.
Mas pensar na conscientização em segurança da informação envolve muita mais do que treinamentos, embora esses sejam fundamentais para mobilizar os funcionários. Ações como cartazes espalhados pela empresa, campanhas de comunicação e boletins periódicos (ou outro tipo de informativo) contribuem para garantir que todos tenham conhecimento sobre o tema e gerar senso de responsabilidade, reforçando a ideia de que todos os colaboradores são, sim, responsáveis pela segurança da informação.
Assim como a Política de Segurança da Informação (PSI) é necessária em uma instituição, a criação de um plano assertivo de conscientização pode ajudar a empresa em muitos sentidos. Sendo o usuário o elo mais fraco da rede de segurança, sua atenção deve ser redobrada. É preciso saber a quais riscos estão expostos no dia a dia, desde a utilização do crachá (ou outra medida física de segurança) ao entrar, sair ou receber alguém na empresa, a prudência ao evitar assuntos confidenciais em lugares de convívio público, o bloqueio de tela ao se ausentar da mesa, o cuidado com informações e dados sensíveis, além de ter um conhecimento mínimo sobre os riscos relacionados a vírus, malwares, phishing, spam e técnicas de engenharia social, que estão sendo usadas com cada vez mais frequência para obter acessos privilegiados.
Tratar a segurança da informação como algo estratégico é não deixar que nenhum dos nós dessa grande corrente seja desatado ou se rompa. A preservação da confidencialidade, integridade e disponibilidade da informação traz também grandes desafios: proteger a informação de ameaças, minimizar os riscos do negócio, maximizar o retorno sobre os investimentos e garantir a continuidade da empresa. Independente do aspecto, o fator humano sempre estará presente e, portanto, deve ser considerado.
Por Caroline Gomes -Caroline Gomes - 23 anos. Formada em Jornalismo pela Universidade Metodista de São Paulo, sempre foi curiosa e entusiasta por temas ligados à tecnologia. Em 2018 iniciou o curso de Defesa Cibernética na FIAP e hoje atua como analista de segurança.
Concordo que as empresas tem responsabilidade na conscientização dos funcionários, mas entendo que a tarefa seria muito mais simples se este processo começasse nas Escolas.
Acredito que algumas Escolas já tenham disciplinas sobre o assunto, mas conceitos como privacidade, vazamento de informações, utilização indevida de recursos não tem uma abordagem muito efetiva, tanto que estagiários e trainees são os mais resistentes a seguir a PSI da Empresa.