À medida que os riscos cibernéticos de uma empresa evoluem, você também deve evoluir. Eis 5 sugestões para criar uma cultura de cibersegurança que proteja a sua empresa e seja significativa para os seus funcionários.
A criação de uma cultura de cibersegurança sempre foi um elemento importante da estratégia de cibersegurança de uma organização. No entanto, a mudança maciça para o trabalho remoto induzida pela COVID-19, seguida pelo crescimento dos locais de trabalho híbridos, alterou fundamentalmente o panorama das ameaças.
As políticas de cibersegurança do passado, e mesmo as instituídas no início da pandemia, têm de ser reavaliadas face aos novos desafios da cibersegurança. Os riscos emergentes devem ser identificados, articulados e alinhados com a estratégia empresarial.
Porque à medida que os perfis de risco mudam, também a cultura de cibersegurança de uma organização tem de mudar. E os comportamentos e a mentalidade necessários para lidar com os riscos de segurança em evolução - a cultura de cibersegurança de uma empresa - devem estender-se a toda a organização.
O que é uma cultura de cibersegurança e qual a sua importância?
A cultura de cibersegurança deve ser vista como um ambiente de trabalho em que todos se preocupam com a cibersegurança e estão motivados para a melhorar; as pessoas compreendem por que razão a cibersegurança é importante e vêem-se a si próprias como parte da solução.
A promoção de uma cultura de cibersegurança também garante que os funcionários estejam conscientes dos riscos que existem ou podem existir e que saibam como reagir ou comunicar esses riscos. Esta sensibilização, por sua vez, ajuda a proteger melhor uma organização, criando uma forte linha de defesa contra ciberataques e potenciais violações de dados.
Desafios
A falta de um orçamento adequado para a segurança é um dos principais desafios para qualquer organização. Outro é a criação de uma cultura de segurança cibernética sem o apoio dos executivos da empresa.
A segurança tem uma má reputação. A "marca de segurança" é um elemento importante na criação de uma cultura de cibersegurança. O facto de nem sempre serem respeitadas ou compreendidas é um obstáculo que as equipas de segurança têm de ultrapassar, trabalhando para mudar as atitudes das pessoas em relação à segurança.
O diretor de segurança da organização deve estar à altura do desafio. Encontrar um CISO transformacional que possa liderar e criar uma cultura de cibersegurança - e torná-la uma prioridade - será um desafio para muitas empresas.
5 melhores práticas para criar cultura
Segue-se uma panorâmica de cinco boas práticas fundamentais para ajudar os profissionais de segurança da informação a criar uma cultura de cibersegurança em toda a organização.
1. investir nas ferramentas de segurança correctas.
As ferramentas de segurança são parte integrante de uma defesa em camadas, mas não são uma panaceia contra os ciberataques. É aconselhável ter um complemento bem pensado de ferramentas de cibersegurança que possam aumentar o "aspeto humano" da cibersegurança.
Investir em soluções SIEM que utilizem técnicas de aprendizagem automática, por exemplo, pode ajudar o pessoal do centro de operações de segurança a aumentar as suas capacidades de deteção e resposta, melhorar o rácio sinal/ruído e permitir que os analistas de segurança se concentrem nas ameaças que interessam.
No entanto, é importante lembrar que, à medida que a tecnologia evolui e os ciberataques aumentam, a escassez de competências em cibersegurança só se agrava. É imperativo recrutar, formar e reter talentos cibernéticos de uma vasta gama de origens, a fim de se manter à frente da curva.
2. Tornar a segurança acessível
Os gestores de segurança têm de começar a trabalhar com a gestão de topo. Os profissionais de segurança devem compreender e alinhar-se com a estratégia empresarial, identificar os riscos associados a essa estratégia e comunicá-los adequadamente em termos empresariais.
Quando os gestores compreendem, em termos compreensíveis, qual é o risco e o que lhes é pedido, são capazes de avançar.
3. Promover a ciber-higiene de ponta a ponta.
Para ter um impacto real, as boas práticas de cibersegurança têm de partir do nível C e passar pela sua organização. Se o seu CEO estiver a demonstrar práticas positivas de cibersegurança e a dar um bom exemplo ao resto da empresa, é provável que o resto da equipa siga o exemplo.
A cibersegurança deve ser considerada uma prioridade e definir o tom para o resto da empresa.
- Incentive os seus executivos a participar em cursos de formação sobre cibersegurança.
- Aplicar políticas e processos de segurança em toda a linha, independentemente do nível hierárquico.
- Trabalhar com os responsáveis políticos para adaptar os procedimentos de acordo com a forma como funcionam para os membros do conselho de administração: se as políticas não funcionam para eles, provavelmente também não funcionam para os níveis inferiores da organização.
- Parta do princípio de que as práticas levam tempo a difundir-se por toda a empresa: é preciso tempo e esforço para que a cultura evolua.
4. Centrar-se no ser humano
Muitas vezes, as equipas de segurança equacionam erradamente a existência de um programa de segurança "centrado no ser humano" com a oferta de formação de sensibilização para a segurança que todos os empregados devem realizar.
É preciso começar pelas pessoas. Isto significa analisar as suas partes interessadas, compreender os seus comportamentos e desafios e descobrir o que precisa de mudar e como implementar essa mudança. Depois, com base nisso, cria as suas iniciativas de cultura de segurança para cada uma dessas comunidades de partes interessadas.
5. Trabalhar numa estratégia de confiança zero
Estratégias de segurança como a autenticação multifactor (MFA) e o Zero Trust são frequentemente discutidas nos círculos de cibersegurança como métodos para aumentar os controlos de acesso, mas o Zero Trust tem vindo a ganhar popularidade rapidamente e muitas organizações procuram agora adotar esta mentalidade.
Uma estratégia Zero Trust para a cibersegurança empresarial é um quadro que exige que todos os utilizadores sejam continuamente autenticados, autorizados e validados antes de lhes ser concedido acesso a determinados sistemas ou dados da empresa. Isto inclui tanto os utilizadores dentro da rede empresarial como os utilizadores fora da rede empresarial, à medida que entramos numa fase permanente de trabalho híbrido.
A imposição deste modelo em toda a empresa significa que todos na empresa enfrentam as mesmas medidas de segurança, deixando pouca margem para erros que podem custar-lhe o negócio.
Conclusão
São muito poucas as organizações que salientam a importância da cultura de segurança, o que pode conduzir a decisões pouco informadas, sistemas comprometidos e violações cibernéticas.
O desenvolvimento de uma cultura de cibersegurança é um processo contínuo e exige o envolvimento de todos os níveis de uma organização.
Ao implementar boas práticas de cibersegurança no seu local de trabalho, não só criará uma cultura de segurança ao longo do tempo, como também a sua organização ficará mais bem protegida contra as ciberameaças.
