Estamos vivendo uma pandemia cibernética de ataques e geralmente a primeira ideia que passa na cabeça é que precisamos investir em tecnologias e controles rígidos para que possamos ter a segurança adequada.
Mas com tanta tecnologia e frameworks por que ainda continuamos tão vulneráveis?
"Se você acha que a tecnologia pode resolver seus problemas de segurança, então você não entende os problemas e não entende a tecnologia". Bruce Scheiner, Secrets & Lies
O primeiro passo antes de iniciar qualquer ação de estruturação de um planejamento estratégico de Segurança da Informação, é entender a cultura organizacional, como as pessoas funcionam e os valores da empresa. Sendo crucial observar como as coisas acontecem na empresa e como as pessoas atuam para que seja possível conseguir implementar a cultura, processos e tecnologias de segurança conectados à cultura organizacional. Também é necessário o entendimento do contexto organizacional, seus direcionadores estratégicos para que sejam definidos os objetivos de segurança em conexão com o negócio. As ações de inventariar os ativos para identificar, levantar riscos e seus cenários são necessárias para que se mantenha mais foco naquilo que é mais importante e crítico para o negócio (as chamadas joias da coroa), com a priorização adequada e para melhor decisão de direcionamento do investimento.
Mas como decidir que caminho seguir e onde agir primeiro para a entrega de segurança de forma adequada? A pesquisa Data Breach Investigations Report (2022) destaca que (Figura abaixo) "as pessoas estão envolvidas em violações em mais de 80% das vezes. "Por pessoas" pode significar uma violação devido a alguém clicando em um link em um e-mail de phishing, alguém utilizando uma senha fraca que está comprometida ou um administrador de TI configurando incorretamente sua conta na nuvem e compartilhando acidentalmente dados confidenciais com o mundo inteiro". Estamos então nos referindo a uma Segurança da Informação comportamental onde se torna urgente fortalecermos mais ainda o poder que as pessoas têm para que tomem as decisões corretas e com alta percepção do risco. Logo, as pessoas, e não apenas a tecnologia, precisam ser abordadas nos objetivos estratégicos de segurança. Não importa o quanto será investido em tecnologia, o fator humano deve ser a parte crítica de um planejamento de segurança porque as pessoas estão envolvidas em todas as etapas, desde as decisões, definições até as implementações. "A segurança começa e termina com as pessoas: seus comportamentos, motivações e hábitos" (Deloitte Insights)
E como estruturar um processo de conscientização, comportamento e cultura para que as pessoas vivam a segurança de maneira fluida, leve e simples? As campanhas de conscientização têm o papel principal de influenciar que as pessoas adotem comportamentos seguros. E não adianta apenas informar o que devem ou não fazer, elas precisam aceitar que é relevante a informação que estão recebendo e entender o porquê.
Mudar o comportamento das pessoas é algo que leva tempo. Formar uma coalizão com pessoas que "comprem" a mudança para uma cultura de segurança, tenham experiência e o poder de influência e inspiração ajudará na replicação e na transformação da cultura organizacional, pois tem que ser contínuo, com comunicação efetiva, ações com cadência adequada, de acordo com o público-alvo e monitoramento contínuo.
E como saber se estamos indo no caminho certo? Como diz Peter Drucker, se você não pode medir, você não pode gerenciar. É importante estabelecermos métricas e realizarmos análises de maturidade para alcançarmos um programa de conscientização, comportamento e cultura maduro com capacidade para identificar, gerenciar e medir o risco humano. Ao utilizarmos um framework para avaliarmos a maturidade em conscientização em segurança possibilita conhecermos onde estamos, onde queremos chegar e o que precisamos fazer para chegar lá. Para avaliação da maturidade do programa de conscientização, comportamento e cultura podemos utilizar o modelo de maturidade da SANS. O modelo é composto por cinco níveis que medem a efetividade, o alcance e os impactos dos programas de conscientização em cibersegurança.
Em resumo, é preciso treinar e conscientizar as pessoas, medir e avaliar o programa de conscientização, comportamento e cultura para construirmos um ambiente seguro. "As pessoas devem ser o elo mais forte da corrente. Só precisam estar empoderadas, com conhecimento para isso. Com as pessoas agindo naturalmente de forma segura, aí se tem uma cultura de segurança" (Rodrigo Jorge).
Lorenna Agra, coordenadora de TI no CESAR.