CISOs dão dicas de como engajar colaboradores em segurança cibernética

Segurança da Informação Visualizações: 479

Há algo que há muito tempo intriga chefes de segurança: como fazer com que mais funcionários se importem com o tema?

De acordo com relatórios recentes, a maioria dos funcionários não domina as melhores práticas de segurança cibernética. Uma pesquisa de privacidade e conscientização de segurança, divulgada pela MediaPRO em 2018, constatou que 75% dos 1.024 colaboradores norte-americanos entrevistados não têm conhecimento cibernético.

O Mimecast também relatou descobertas semelhantes. A empresa contratou o Google Consumer Research para entrevistar 1.000 funcionários em vários setores e descobriu que cerca de 25% deles desconheciam as ameaças mais comuns de segurança, como ataques de phishing e ransomware.

Além disso, a Mimecast descobriu que cerca de metade dos entrevistados dizem que seus empregadores não oferecem treinamento obrigatório em segurança cibernética. Já 10% afirmam que suas empresas contam com treinamento opcional e 10% que só recebem treinamento formal durante o processo de integração.

Dadas essas estatísticas, não é de admirar que os especialistas em segurança cibernética ainda considerem as pessoas como o elo mais fraco das camadas de segurança destinadas a proteger os sistemas de uma organização e os dados que eles contêm.

Essa postura não é novidade. Mas há algo que há muito tempo intriga muitos chefes de segurança: como fazer com que mais funcionários se importem com o assunto e se envolvam mais ativamente na proteção de suas organizações?

Especialistas dizem que há, de fato, estratégias que os CISOs podem adotar para melhor mobilizar funcionários para se unirem à sua missão de segurança.

“É sobre ganhar os corações e mentes das pessoas, dando-lhes uma razão para se importar. Trata-se de ajudar as pessoas a entender o que há para elas”, diz Joe Nocera, diretor da prática de Cybersecurity & Privacy da PwC. “Os CISOs que dizem o que as pessoas não devem fazer não são bons em ajudar a impulsionar mudanças e criar suporte. E vender com medo, incerteza e dúvida não cria apoio para o programa de segurança. Os CISOs precisam comunicar como a segurança ajuda os negócios."

Para melhor passar o valor da segurança e ganhar adeptos para a causa, aqui estão oito estratégias comprovadas para alcançar o objetivo:

1. Mantenha os treinamentos curtos

Tony Velleca, CISO da UST Global, afirma que as longas aulas sobre protocolos de segurança sobrecarregam os trabalhadores, que já estão ocupados o suficiente com suas tarefas cotidianas. Pensando nisso, o especialista passou a apostar em curtos períodos de aprendizado. Agora ele lança esquemas de simulação sem aviso prévio, como ataques de phishing, todos os meses, criando invasões falsas para enganar os colaboradores. “Nós fazemos com que pareça algo muito real, então nos tornamos mais sofisticados”, explica.

2. Estabeleça relações

Os chefes de segurança que querem conquistar os funcionários precisam se conectar com eles, mostrando-lhes como as etapas de segurança podem ajudá-los em seus próprios trabalhos. “Quanto mais você puder personalizar a experiência, melhor. Se você faz com que seja real para eles e mostra a eles como isso os impacta ou sua capacidade de fazer o seu trabalho, eles entendem por que deveriam se importar com isso”, considera Nocera.

3. Identifique embaixadores

A Lear Corp., fabricante de assentos automotivos e sistemas elétricos com mais de 161 mil funcionários, envia sua mensagem de segurança por meio de cartazes, vídeos, podcasts, artigos, sinalização digital e aulas interativas. Mas o CISO Earl Duby não para por aí. Ele e a sua equipe de segurança criaram um programa em junho de 2017 para distribuir material educacional e reconhecer os funcionários que exemplificam a conscientização sobre segurança ou as melhores práticas.

“Na época, o mundo inteiro estava preocupado em evitar o impacto do vírus ransomware WannaCry. Vimos a oportunidade de redefinir a segurança da informação como algo que todos deveriam levar para casa. Queríamos passar a mensagem de que a luta contra as ameaças cibernéticas une e envolve todos - não se trata apenas da Lear ou de qualquer empresa individualmente. Mais importante, queríamos lançar a Segurança da Informação como um problema de pessoas, não um problema de tecnologia, e focar mais nas pessoas da Lear e como lhes dar as ferramentas necessárias para combater os criminosos cibernéticos (aos quais frequentemente nos referimos como ciberbullyers ), relata Duby.

4. Faça parcerias com outros executivos

Quando se trata de divulgar informações sobre segurança, Bryan Willett, CISO da Lexmark, diz que trabalhou para garantir que seus colegas estejam dentro das políticas e procedimentos de segurança da empresa, para que eles ajudem a vender a mensagem de segurança para suas próprias equipes. “Eu tenho que ter o CEO e todos os líderes de negócios alinhados com a missão de segurança, para que eu possa ter sua ajuda nas reuniões da área ou nas reuniões de todos os funcionários, para reiterar o foco na segurança e privacidade.”

5. Mostre o valor

Os clientes da Lexmark valorizam a segurança em seus parceiros de negócios, tanto que muitos clientes pedem informações sobre as estratégias de segurança da Lexmark. Como tal, Willett diz que sabe que um programa de segurança forte tem valor comercial e não hesita em calcular e articular esse valor ao discutir requisitos de segurança existentes ou novas iniciativas. “A segurança tem sido uma das principais preocupações dos nossos clientes há muito tempo, e nossa liderança sênior sabe disso. Eles sabem que queremos tomar as medidas de segurança necessárias para que nossos clientes tenham confiança nos produtos que estamos oferecendo.”

6. Seja responsivo

A infraestrutura de segurança de Willett envia alertas sobre possíveis ameaças, como fazem os sistemas de segurança na maioria das organizações. Mas, ao contrário de alguns departamentos de segurança, a equipe de Willett se concentra em reagir rapidamente ao risco e também em responder aos funcionários envolvidos no incidente. “Temos roteiros que vão para os funcionários quando vemos algo acontecer. Damos a eles ações a serem tomadas e também lhes damos mais informações sobre o histórico - por exemplo, como isso poderia ter sido evitado e que medidas poderiam ser tomadas para impedir que isso acontecesse novamente”, explica Willett.

7. Construa uma boa reputação

“Seu trabalho como líder de segurança é tornar o mais fácil possível fazer negócios com você”, diz Jason Taule, vice-presidente de padrões e CISO da HITRUST e ex-CISO da FEI, CSC, General Dynamics e outras empresas. Ele e outros líderes em cibersegurança concordam que os CISOs que desejam gerar uma imagem positiva sobre a segurança dentro das empresas precisam conquistar esse engajamento, investindo na satisfação dos colaboradores.

8. Capacite funcionários

Duby afirma que a sua equipe de segurança monitora a eficácia de seus esforços de conscientização de segurança, em parte, observando o envolvimento dos colaboradores da empresa. Por exemplo, eles analisam as atividades das equipes e monitoram quantas pessoas compartilham os esforços de conscientização. Eles também rastreiam o volume de problemas de segurança identificados pelos funcionários, reconhecendo que quanto mais as pessoas relatam suas suspeitas, mais conscientes estão, compreendendo a segurança como parceira no processo. A Lear também tem um mês de conscientização de segurança, com eventos e atividades planejadas durante as quatro semanas.

"Nosso programa oferece às pessoas um senso de oportunidade individual, não apenas para proteger uma empresa, mas para participar de uma luta incrivelmente importante para proteger as pessoas de ataques cibernéticos", diz Duby. "O programa defende uma missão que é mais inspiradora do que as políticas poderiam ser."