Segurança é uma questão de cultura – Ciber-segurança na cultura empresarial

Os ataques cibernéticos acontecem frequentemente como resultado de uma falta de cultura de segurança

By Ildikó Bruhns

Quando os sistemas de segurança e as regras de conformidade são contornados pelos empregados, os incidentes ocorrem como esperado. Contudo, a maioria dos danos não é causada por ataques automáticos ao epicentro informático de uma empresa, mas sim por uma falta de cultura de segurança. No entanto, há mais do que simplesmente criar uma consciência colectiva através de regras de conformidade rígidas. O que os empregados realmente precisam é de uma “cultura de segurança”.

Quando os empregados contornam os limites de conformidade e os sistemas de segurança, os incidentes são inevitáveis. Embora o investimento em tecnologias de protecção esteja a aumentar ano após ano, as empresas não devem assumir, nolens volens, que os ciberataques são uma coisa do passado. O maior erro do “sistema operacional” é muitas vezes sobrestimar as capacidades da tecnologia e subestimar a criatividade dos cibercriminosos. A maioria dos danos não é causada por ataques automatizados ao epicentro das TI de uma empresa, mas sim por uma falta de cultura de segurança. No entanto, há mais do que simplesmente criar uma consciência colectiva através de regras de conformidade rígidas. O que os empregados realmente precisam é de uma “cultura de segurança”.

Protecção em cultura pura

Imagine que como empregador na sua empresa tinha de conseguir milhares de empregados para agirem em conjunto – numa fracção de segundo. Uma impossibilidade, ao que parece. Mas o nosso corpo “vive” exactamente isso – com uma taxa de sucesso impressionante. Cerca de 86 mil milhões de neurónios devem trabalhar em conjunto e comunicar uns com os outros ininterruptamente, para que possamos pensar, sentir e agir. Isto só funciona sob uma condição: cada célula deve saber exactamente o que é suposto fazer, e a química entre todas elas deve estar literalmente correcta. Se não for este o caso, haverá deficiências e, no pior dos casos, falhas importantes.

Quando se trata de segurança, este “modo de funcionamento” deve tornar-se o modelo para a cultura de segurança. A empresa forma aqui o sistema nervoso central, a cultura de segurança actua como sinapse e ao mesmo tempo como um ponto de ligação entre as células nervosas. Cada empregado encarna uma célula altamente especializada, mesmo a mais pequena das quais contribui para um “sistema de defesa” funcional.

Factor de incerteza Responsabilidade

De acordo com o actual “Cybersecurity Culture Report“, 90 por cento dos 4.800 inquiridos vêem uma discrepância entre a verdadeira e desejada cultura de segurança. A maioria dos participantes no inquérito considera que as medidas de defesa contra ataques internos e externos na sua própria empresa são insuficientes. Além disso, a maioria dos empregados nem sequer sabe como pode melhorar a protecção (de dados) eles próprios. Isto, por sua vez, deve-se à sua incerteza sobre o seu próprio papel e área de competência quando se trata de segurança. Apenas três em cada dez empregados estão realmente cientes disto.

Neste contexto, torna-se claro o que muitas vezes é negligenciado neste contexto de cultura de segurança: A segurança deve deixar a visão puramente técnica e colocar o elemento humano (intermédio) acima dela. Hoje em dia, este repensar é ainda mais crucial, porque os cibercriminosos confiam cada vez mais em métodos de “engenharia social” há já algum tempo. Ao fazê-lo, utilizam truques psicológicos como a fraude do CEO (“managing director trick”), com os quais manipulam e pressionam os empregados no caso com autoridade. Qualidades humanas tais como gratidão, sentido do dever, boa fé ou orgulho são impiedosamente exploradas.

Se um empregado cai na armadilha de um cibercriminoso, é ameaçado de despedimento na maioria dos casos. Mas neste caso, não deveria ser questionada a cultura de segurança e não o funcionário da empresa?

“Cultura de segurança” como âncora de estabilidade

“Nada é seguro excepto a tecnologia – muito menos o local de trabalho” – isto resume a estratégia de muitas empresas, independentemente do sector e da dimensão, na nossa sociedade orientada para o desempenho. É precisamente esta visão que precisa de ser invertida. Se nós, como empresa, só reagimos de acordo com um padrão ao construirmos uma cultura de segurança, devemos ter o cuidado de não perder duas qualidades do nosso “capital humano”: a intuição e a imprevisibilidade. Ou, dito aqui, sabe quantos incidentes de segurança foram evitados por uma acção imprevisível?

Se quiser estabelecer uma cultura de segurança séria para além do habitual blá blá blá, como empregador deve, antes de mais, dar mais segurança aos próprios empregados – numa “(cultura corporativa) de segurança”.  A segurança é uma das necessidades humanas básicas, tentamos proteger-nos contra tudo e proteger todas as pessoas que valorizamos. Porque é que poucas empresas começam com os seus empregados? Um empregado inseguro não deixará certamente o seu (pensamento) caminho, por muito bem percorrido que seja.

Trabalho de equipa entre o homem e a tecnologia

Diz-se que a Rainha Isabel uma vez perguntou numa conversa sobre o seu próprio funeral: “Não tenho a certeza se gosto das velas. Posso trazer o meu”? É uma história semelhante quando se trata de segurança na maioria das empresas ainda: Todos preferem confiar nas suas próprias experiências e valores quando lidam com tecnologia e dados. As directrizes de conformidade são um quadro de acção sensato, mas respostas como “Porque é assim que as coisas são” não chegam a nenhum dos lados quando se trata de implementar uma cultura de segurança viva.

É também crucial tirar finalmente a ideia de uma tecnologia “super segura” da cabeça de todos. Além disso, não se deve permitir que a tecnologia utilizada se transforme num “buzzkill”, e as pessoas não devem ser vistas meramente como engrenagens na cadeia do processo. O filme de Charlie Chaplin “Modern Times” mostra como as pessoas ficam entorpecidas com a adaptação à tecnologia – isto não é diferente hoje em dia em frente ao PC do que era na altura na linha de montagem. A cultura de segurança não deve, portanto, ser regimentada, porque a cultura no seu significado como algo “a ser moldado por si próprio”, bem como a segurança como resultado da compreensão intuitiva, valores, experiências e uma atitude de expectativa são parâmetros dinâmicos.

Desde o lutador solitário até ao operador de rede de segurança

A cultura de segurança não é um conceito estático, mas sim uma espécie de construção social com factores dinâmicos, dos quais se podem derivar máximas de acção individuais e colectivas. Além disso, o horizonte de expectativas desempenha um papel neste contexto que não deve ser subestimado: quanto mais clarividente, mais segurança pode ser esperada.

Tanto técnica como organizacionalmente, os empregados precisam de (auto)certeza, de um cruzamento entre segurança e conhecimento. Também precisam da confiança de que a cultura de segurança na empresa não irá degenerar num fenómeno marginal ao longo do tempo, mas permanecerá sempre um assunto para o patrão com carácter de investimento. Se criar um ambiente tão fiável, a cultura de segurança tornar-se-á lenta mas seguramente uma segunda natureza para os seus empregados. Desta forma, os guerreiros solitários podem tornar-se verdadeiros criadores de redes de segurança que podem apagar com confiança afirmações como “Se eu soubesse” ou “Tudo bem” do seu vocabulário e caminhar pelo mundo cibernético com os olhos bem abertos.

O porto seguro: entre a autoridade e a inspiração

Além disso, amatização das questões de segurança está também relacionada com o não conhecimento. Os sistemas técnicos não são completamente controláveis desde o início; só através de “avarias” é que se tornam cada vez mais controláveis. Assim, se as máquinas têm de “aprender” em igual medida, as empresas devem esperar muito menos dos empregados que funcionem sem falhas. A cultura de segurança não é criada pela pressão, mas sim por um ambiente seguro no qual, para além das especificações técnicas e organizacionais, há espaço para opções de design activo, “espaços de ressonância” e qualidades humanas tais como sensação intestinal ou criatividade na procura de soluções.

“O que é certo é que nada é certo. Nem sequer isso”, disse certa vez a Ringelnatz. Uma coisa é certa: haverá sempre um risco residual com as pessoas e a tecnologia. Isto também se aplica a uma cultura de segurança “vivida”, na qual o conhecimento, a antecipação, a reflexão e o intercâmbio estão entre os factores mais importantes. Se os empregados forem encorajados a fazer isto, os cibercriminosos estão a passar por momentos difíceis.

Dicas técnicas e organizativas com as quais já pode eliminar antecipadamente certos riscos ou possíveis factores de insegurança e garantir mais segurança:

  • Parcimónia de dados como contra-medida: Ataques de engenharia social tais como “fraude do CEO” podem ser de certa forma limitados pela “ganância de dados”. As empresas devem considerar se a presença de dados omnipresentes, por exemplo sob a forma de endereços electrónicos pessoais no website ou de notas de ausência (especialmente do CEO), é realmente necessária.
  • A segurança e o cumprimento devem andar a par e passo: Tanto a nível organizacional como técnico, os responsáveis são instruídos a tornar as políticas empresariais e a utilização de tecnologias tão simples, compreensíveis e vinculativas quanto possível para os empregados. Sensibilidade e facilidade de implementação são, por exemplo, a introdução de assinaturas digitais e tecnologia adequada à utilização diária, protecção de dados e definições por defeito favoráveis à segurança dos dados, etc.
  • Planear um orçamento realista com recursos humanos e financeiros, também para amortecer os picos de carga na empresa.
  • Colocar à prova o trabalho interno e os processos empresariais: Por exemplo, sobre o tema do acesso aos dados. A quem é permitido o acesso a que dados, quando, como e onde? Será isto realmente necessário?
  • Reforçar os empregados no seu papel: As pessoas alvo nas empresas que estão particularmente em risco de se tornarem vítimas de um ataque devem estar conscientes disto e, consequentemente, devem ser encorajadas mais fortemente na sua consciência de segurança. A formação e educação podem ser utilizadas para desenvolver conjuntamente áreas de competência realistas e regras de conduta claras e práticas sobre o que fazer no caso de um (pré-)incidente.
Ildikó Bruhns
Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.
você pode gostar também Mais do autor

Comentários estão fechados.

More Stories

O Dilema do Inovador – Porque é que as empresas de…

Cibersegurança: o que é que isso tem a ver comigo e com a…

Cibersegurança para empresários em 5 pontos

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More