Nos últimos três anos, nós aqui da Bushidô Business Academy temos auxiliado várias Empresas, de diversos portes e segmentos de negócio, a implementar seus Sistemas de Gestão de Segurança da Informação e de Privacidade de Dados. Em comum, estas empresas têm a necessidade de se adequar à nova realidade do mercado (ameaças digitais crescentes, trabalho remoto em massa e pressões de clientes, reguladores e titulares de dados com foco na LGPD).
As notícias mostram, todos os dias, que a quantidade de ataques cibernéticos a empresas aumenta em proporções alarmantes. Em 2021, o Brasil foi o 5° país do mundo com mais ataques sofridos, com um total de 9,1 milhões de ocorrências! As perdas globais com crimes cibernéticos no ano foram estimadas em cerca de U$ 6 trilhões!!! (leia mais aqui). A ANPD - Autoridade Nacional de Proteção de Dados, já avisou que em 2022 começa a fiscalizar o cumprimento da LGPD (Lei Geral de Proteção de Dados Pessoais). Além disso, as Empresas também passaram a arcar com penalidades pelo não cumprimento da legislação de privacidade de dados pessoais. A ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) publica em seu site os registros de violações LGPD ocorridos no Brasil (saiba mais aqui).
Em 2021, o Brasil foi o 5° país que mais recebeu ataques cibernéticos.
Boa parte destes ataques e violações podem ser evitados com medidas simples adotadas pelas empresas, que passam necessariamente pela criação ou reforço de uma Cultura de Segurança da Informação e Privacidade de Dados (ou privacidade de informações pessoais, se você preferir). Isso porque essa cultura depende de diversos fatores, dos quais destacamos:
Mentalidade da Alta Direção: Se o "dono" do negócio ou a diretoria executiva não dá importância ao tema, por consequência as demais pessoas também não o farão.
Área de atuação da Empresa e Ambiente de Trabalho: Organizações que atuam em ambientes regulados e onde segurança é parte intrínseca do negócio (bancos, instituições financeiras, empresas do setor de saúde e bureaus de crédito) tendem a possuir uma cultura de segurança mais madura. Por outro lado, organizações de outros ramos e startups com ambientes de trabalho mais flexíveis, podem ser mais refratárias às regras e comportamentos exigidos para segurança da informação e privacidade de dados.
Porte da Organização: A dificuldade de implementar uma cultura de segurança e privacidade é diretamente proporcional ao tamanho da Organização e sua estrutura hieráquica. Organizações menores são mais fáceis de controlar e de se adaptar às mudanças.
Estrutura Organizacional e Recursos: Empresas que possuem pessoas ou times dedicados à segurança da informação e privacidade de dados saem na frente de todas as outras. Isso porque o conhecimento e a bagagem destes profissionais encurtam o caminho a ser percorrido. Além disso, essas pessoas e times em geral possuem acesso a recursos que melhoram a prevenção interna contra riscos e incidentes de segurança e privacidade.
Educação e Conscientização: a existência de programas de treinamento e ações de conscientização recorrentes também levam a Empresa a aumentar a sua resiliência contra falhas de segurança da informação e privacidade de dados. Dados mostram que 99% das invasões bem sucedidas através de email, por exemplo, dependem de algum tipo de interação humana do lado de quem está sendo atacado.
Por estas razões, é importante que uma Empresa que pretenda estar mais preparada para este novo ambiente de negócios adote práticas e comportamentos seguros, como parte integrante de sua cultura. Se você é dono de um negócio ou diretor de uma Empresa, saiba que essa é uma preocupação estratégica!
Se você é o dono de um negócio ou o diretor de uma empresa, saiba que segurança da informação é uma preocupação estratégica!
Nossa experiência mostra que uma cultura de segurança e privacidade bem-sucedida depende das seguintes ações:
Envolvimento pessoal da Alta Direção: O próprio dono ou diretoria executiva precisam levar o tema para a estratégia de negócios. No mínimo devem endereçar os seguintes pontos: a) definir uma política de segurança e privacidade clara, curta e concisa, para que possa ser facilmente comunicada e entendida pela Organização. Uma declaração de princípios com poucas linhas é suficiente para cumprir com este propósito; b) planejamento e alocação de recursos para a segurança da informação e privacidade. Isso inclui designar um ou mais responsáveis pelo tema e municiar estas pessoas com autoridade e liberdade organizacionais para definir e aplicar as regras de segurança necessárias, bem como acessar ferramentas e meios de controle para proteger os ativos de informação e monitorar o cumprimento dessas regras; c) acompanhar os desdobramentos dessa política e aplicação dos recursos alocados, para apurar os resultados destes esforços.
Aplique controles e regras, mas explique o porque: Implementar regras de segurança e privacidade, como restrições de acesso a informações em nuvens, redes e pastas de rede, políticas de controle de acesso físico e lógico, restrição de instalação de softwares pelos usuários, antivirus obrigatório e automático, bloqueio de acesso a sites não-autorizados pela Empresa, limitar a coleta, processamento e transferência de dados pessoais, entre outras, é importante. Mas as pessoas precisam entender o porquê disso. Simplesmente impor regras sem dar explicações leva as pessoas a criar resistências a elas e não se engajar neste processo.
Treinamento, treinamento, treinamento: existe um máxima no mercado de segurança e privacidade que diz que "as pessoas são o elo mais fraco da cadeia da segurança da informação". Nós discordamos diametralmente disso. Um processo recorrente de educação e conscientização em segurança da informação e privacidade de dados é a chave para transformar as pessoas no elo mais forte da cadeia. Este processo precisa focar nos comportamentos e atitudes seguros esperados das pessoas, combatendo principalmente atos involuntários e os ataques de engenharia social. Isso inclui: a) conscientizaçaão sobre phishing e ataques por email; b) prevenção contra golpes através de aplicativos (por exemplo, whatsapp); c) cuidados com as credenciais de acesso (crachás, usuários, senhas, etc); d) política de mesa limpa, tela limpa e impressão segura, evitando a exposição desnecessária de informações e documentos; e) comportamentos seguros em público (ao trabalhar em cafés, co-workings, aeroportos, etc); f) atenção com os acessos físicos, evitando o "tailgating" (aquele desconhecido que pega carona quando você acessa a empresa com as suas credenciais); g) princípios e intenções da LGPD. Esses e outros temas devem fazer parte das abordagens de treinamento e conscientização, tanto no momento do "on boarding" de novos funcionários e parceiros, bem como em campanhas recorrentes. Vale até "gamificar" este processo, como fazem algumas boas empresas do ramo no mercado.
Estimule o reporte de fraquezas e riscos: Estabeleça um canal de comunicação e estimule as pessoas a reportar eventos de segurança: pode ser desde uma falha na segurança física (portas destrancadas, bypass de barreiras de segurança) a crachás esquecidos em cima da mesa e senhas escritas em "post it" coladas no monitor, entre outras. Use essas ocorrências para reforçar os comportamentos esperados. E aplique punição adequada através de um processo disciplinar claro, para aqueles casos de descumprimento das regras de segurança.
Reconheça e comunique as boas práticas e os resultados alcançados: É importante que as pessoas saibam que seus esforços e resultados estão sendo vistos na Empresa. Crie eventos periódicos para informar, reconhecer e, porque não, premiar os bons comportamentos em segurança da informação e privacidade de dados. Eventos como "Semana da Segurança", "Dia da Segurança", "Fala do Presidente" são oportunidades para mostrar como a Empresa está indo em sua jornada de tornar os negócios e as pessoas mais protegidos. Não esqueça de criar indicadores apropriados para demonstrar tudo isso!
As pessoas são o elo mais forte da cadeia de segurança da informação e privacidade de dados, e não o contrário.
Com essas ações, a sua Empresa vai criar e fortalecer a segurança da informação e a proteção de dados pessoais, reduzindo bastante os riscos aos quais ela está exposta. As chances de sofrer com um ataque ou exposição de informações pessoais serão bem menores!
Organizações que implementam a ISO/IEC 27001 e a ISO/IEC 27701 possuem um arcabouço estruturado que facilita a implementação dessa cultura de segurança e privacidade através dos controles estabelecidos em seus anexos normativos. Os clientes que atendemos na Bushidô Business Academy nestas Normas inclusive se diferenciam das demais empresas por causa disso!
Quer saber mais sobre segurança da informação e privacidade de dados? Precisa implementar a ISO 27001 e a ISO 27701? Fale conosco!
Comments