BRANDS' ECO Os 7 princípios para tornar a cibersegurança num hábito
Tal como outros hábitos, como o exercício físico ou a leitura, a prática da cibersegurança não se cria de um dia para o outro, muito menos apenas com uma formação anual.
Em cibersegurança, existe, por vezes, a tendência para se tratar as pessoas como tecnologia. Tal como o desenho aplicacional, também as Normas de Segurança são desenvolvidas com o intuito de listar as regras que devem ser cumpridas quando os colaboradores são expostos a determinados cenários. A existência de procedimentos permite uniformizar comportamentos, garantindo constante alinhamento com as boas práticas — e aumentar a agilidade no dia a dia, diminuindo o tempo de ponderação dos próximos passos. No entanto, e apesar dos benefícios evidentes, muitos dos normativos de segurança não têm por isso em consideração um simples facto: as pessoas não são tecnologia.
Ao contrário da tecnologia, as pessoas estão expostas à subjetividade das emoções. Os deadlines, o multitasking ou a vida pessoal podem causar stress ou distração, variáveis que não estão previstas nos processos e afetam o automatismo esperado. Por outro lado, ao contrário da tecnologia, as pessoas agem por intuição e por rotinas. Tal como outros hábitos, como o exercício físico ou a leitura, a prática da cibersegurança não se cria de um dia para o outro, muito menos apenas com uma formação anual. Só através da implementação de programas de sensibilização e formação duradouros e adaptados às necessidades dos colaboradores e riscos da organização, conseguimos assegurar a mudança de comportamentos e a criação de uma cultura de cibersegurança.
Em resultado do aumento de estudos que corroboram que a maioria dos incidentes depende de interação humana, a EY tem observado um crescimento considerável de organizações interessadas em criar e implementar programas de cibersegurança. Um dos principais desafios lançados prende-se com a resposta à questão: “como posso tornar a cibersegurança num hábito”?
A experiência revela-nos que não existe uma abordagem única, mas existem alguns princípios fulcrais que potenciam a transição do esforço consciente para o hábito subconsciente:
- Pense em grande (mas também em pequeno) – Um hábito cria-se através da repetição, e, por essa razão, a definição de uma estratégia e planeamento concreto de atividades é essencial. Saltar este primeiro passo pode provocar uma sensação de incoerência e diminuir o engagement dos colaboradores.
- As tecnologias e processos adaptam-se às pessoas e não o contrário – Ao criarmos procedimentos ou ao impormos o uso de determinadas tecnologias que dificultam consideravelmente o dia a dia ou que não têm uma curva de aprendizagem aceitável, estamos a criar um sentimento de resistência, que terá um impacto negativo no sucesso do programa. Além disso, devemos providenciar ferramentas que tornem os espaços de trabalho cybersecurity-friendly, como o controlo de entradas e saídas, cacifos fechados à chave, etc.
- A tecnologia ajuda, mas quem tem o poder são as pessoas – Ao se mostrar que a segurança é uma responsabilidade e dever de todos nós, criamos automaticamente um sentimento de alerta, que, ao fim de algum tempo, se torna subconsciente.
- Um contra todos – Todas as organizações vão sofrer um incidente, só não sabem quando. Ao se promover uma cultura de partilha e entreajuda, garantimos que os colaboradores reportam qualquer situação inesperada ou suspeita, sem medo de represálias.
- Mais fortes, mas não invencíveis – É importante mostrar aos colaboradores que existe uma grande aposta na cibersegurança e patrocínio da gestão de topo, mas nunca se deve passar a falsa sensação de que os controlos e procedimentos implementados nos posicionam em nível de risco zero.
- A teoria não é eficaz se não for exemplificada – Ainda que o ser humano tenha capacidade de abstração, a formação é potenciada quando são apresentados exemplos práticos do dia a dia, em que as pessoas consigam perceber o impacto das suas ações.
- Simular é tão essencial como formar – De nada vale instruir as boas práticas se não é possível garantir que estão a ser aplicadas corretamente. Se não estiverem, é necessário compreender os desafios e de que forma se deve adaptar o programa de segurança. Este princípio é especialmente importante quando falamos de campanhas de phishing ou simulacros de ciberataques.
Tal como qualquer outro hábito que pretendemos manter, não podemos parar de implementar iniciativas de sensibilização e formação de cibersegurança quando sentimos que atingimos o objetivo, especialmente porque todos os dias surgem novas ameaças e formas de ataque. Deve-se desmistificar a existência de total cibersegurança, sendo que os programas de segurança deverão estar sempre alinhados com as oportunidades de melhoria que maior impacto terão nas pessoas.
Texto por Catarina Barreto, Senior Associate, EY Portugal, Cybersecurity, Consulting Services
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Os 7 princípios para tornar a cibersegurança num hábito
{{ noCommentsLabel }}