Por Gina Van Dijk, Diretora Regional do (ISC)² América Latina
Em um mundo no qual tecnologia e negócios estão cada vez mais associados, é indispensável que empresas de todos os segmentos construam estratégias de segurança em linha com a realidade da Era Digital, protegendo-se de ameaças cibernéticas. No entanto, não basta ter apenas uma estratégia de segurança de TI. É preciso que a estrutura tecnológica esteja devidamente configurada e atualizada e que a empresa como um todo siga protocolos de proteção, sob a orientação de profissionais certificados em segurança da informação.
A cultura de segurança de uma organização é composta pela mentalidade e os hábitos disseminados por seus profissionais, sendo que as iniciativas podem ter um amplo impacto sobre a preservação da companhia como um todo. Os hábitos, nesse caso, previnem e protegem contra ameaças externas e até internas, causadas muitas vezes por funcionários mal-intencionados. A mentalidade consolida esses hábitos, criando um direcionamento sobre a maneira de as equipes realizarem tarefas importantes para sua proteção. Construir uma forte cultura de segurança, portanto, significa apresentar ações e metas para encorajar funcionários a mudarem seu comportamento, adotando procedimentos recomendados para a segurança da empresa e evitando ações que podem colocá-la em risco, como a instalação de um vírus ou de um malware.
Para desenvolver essa cultura, existem dois passos essenciais a serem tomados pelos líderes empresariais. O primeiro deles é criar uma política de segurança que defina e oriente todas as práticas e processos de proteção a serem seguidos dentro das organizações. O segundo passo a ser adotado na sequência é garantir que essas regras de conduta sejam comunicadas, disseminadas e entendidas por todos os cantos da operação. Vale dizer, ainda, que essas etapas devem ser coordenadas e implementadas em conjunto para gerar os efeitos esperados.
O sucesso depende da adesão do alto comando das empresas, no topo da pirâmide de liderança, mas o modelo precisa ser seguido por todos os níveis, até o profissional mais júnior do time. Por isso, é essencial ter uma equipe certificada e capacitada para mapear riscos, entender potenciais fragilidades e ajustar constantemente os procedimentos de segurança, pois as ameaças mudam e evoluem na mesma velocidade que as barreiras de proteção.
Outro ponto importante é ter o tema cibersegurança discutido com frequência no Conselho de Administração das organizações, estando também presente na estratégia de negócios. A definição das ações relacionadas à política de segurança estará cada vez mais sob a responsabilidade de profissionais conhecidos como CSO – Chief Security Officers. O desafio desses executivos é prever ataques antes que eles aconteçam e, no caso de uma invasão criar mecanismos de resposta que sejam rápidos e assertivos para evitar invasões e perdas de dados que coloquem os negócios da organização em risco.
Pesquisas internacionais mostram que a política de segurança deve definir todas as bases e requisitos de proteção, assim como prever como a empresa funcionará diante de ameaças e também de ataques que eventualmente podem tirar seus sistemas do ar ou roubar suas informações.
Os riscos tendem a aumentar com a dependência digital que temos e com o surgimento de um número cada vez maior de dispositivos. Serão 20,4 bilhões de ‘coisas’ conectadas em dois anos, segundo estimativa do Gartner. Além disso, com a flexibilização do ambiente de trabalho, a tendência é que as pessoas usem até para o trabalho os seus computadores pessoais e os seus celulares. O BYOD (Bring Your Own Device) está trazendo novos desafios de segurança para as empresas. Por isso, orientar e dividir a responsabilidade com todos é fundamental, a fim de trocar hábitos ruins por atitudes que ajudem a melhorar a segurança digital dos negócios.
Nesse cenário de transformação contínua, é fundamental construir políticas de segurança bem desenhadas e aplicadas. Temos acompanhado vários casos de empresas de diferentes segmentos que estão tendo sérios problemas por falhas de segurança. E, como diz o ditado, é melhor prevenir do que remediar.
