A segurança da informação em ambiente digital está longe de ser resolvida somente com o uso de tecnologia, software e hardware. O fator humano continua sendo o elo mais fraco de muitas arquiteturas de segurança, em um contexto no qual os negócios estão migrando para a internet e digitalizando seus processos internos de forma cada vez mais rápida. Ou seja, muitos dados estão sendo inseridos no mundo digital e, por vezes, sem uma cultura institucionalizada por parte das empresas, no que diz respeito ao uso adequado da internet e o gerenciamento das informações.
Ainda que as ferramentas possam minimizar riscos ou impactos de sinistros, este fator não anula a necessidade de conscientizar os usuários, além de capacitá-los para o uso correto de dispositivos corporativos ou particulares no ambiente da empresa.
Ao adotar uma política de segurança da informação é prudente que sejam realizados treinamentos internos para os colaboradores, com reciclagem regular prevista em cronograma para atualização do conhecimento no tema. A medida, que leva tempo para ser implementada, pode ajudar a reduzir a exposição da empresa a ciberataques como o WannaCry e seus desdobramentos, o sequestro de dados ou infecções dos dispositivos por malwares, vazamento de informações, ataques de engenharia social, e tantos outros.
É preciso criar uma cultura na qual o colaborador se sinta engajado e disposto a incorporar, em sua rotina profissional, as boas práticas de segurança a fim de evitar danos para si, para sua equipe ou para a empresa, como um todo. Se a cultura empresarial for conservadora, com pouca interação entre aqueles que estão no topo da hierarquia e seus subordinados, é mais complexo popularizar a adoção e vivência de uma política de segurança pelos colaboradores. Para ter a aderência de todos na adoção de medidas dessa natureza, é fundamental integrá-los no processo e explicar as razões e benefícios na promoção do uso adequado da internet e da manipulação de informações eletrônicas, de um modo geral.
Nesse processo, cinco dicas podem ser úteis na revisão ou adoção de segurança da informação no ambiente corporativo:
- Buscar consultoria com empresa especializada, para adequar uma política de acordo com as necessidades do negócio, capacitando os colaboradores na adoção das boas práticas de segurança;
- Eleger um coordenador ou mesmo um comitê que seja responsável por controlar o processo internamente; que sejam um ponto de apoio durante a implementação da política e sua condução. Lembre-se: segurança da informação não deve ser tratada somente dentro do setor de tecnologia, é necessário ser horizontal à organização;
- Implantar softwares de segurança que poderão evitar sinistros ou minimizar riscos em caso de situações emergenciais. Da mesma maneira, construir diretrizes que permitam manter os ambientes devidamente atualizados e com cópias de segurança adequadas;
- Revisar a política ao longo do tempo, conforme a necessidade das equipes envolvidas e da digitalização dos processos. Essa medida é fundamental, porque as necessidades mudam ao longo do tempo, e a política tem que ser consultada e revisada para continuar oferecendo conformidade;
- Fazer auditorias, seja com o auxílio de empresas especializadas ou transformando os próprios colaboradores em auditores de forma independente, para aumentar o engajamento deles no processo.
Concluindo: é preciso unir a tecnologia nos processos e auxiliar as pessoas envolvidas a saber valer-se dela oportunamente, a fim de evitar situações que possam gerar prejuízos para todos. Enquanto estas e outras boas práticas não forem entendidas e aplicadas, as consequências dos ataques continuarão surpreendendo de forma negativa.
Cassio Brodbeck, CEO da OSTEC Business Security.