Quem é o responsável pela segurança cibernética em sua empresa? Todos, inclusive você!

Um dos efeitos colaterais infelizes do termo "segurança cibernética" é que ele soa muito técnico. Isso pode levar as pessoas a concluírem que não é problema delas, mas algo que é de responsabilidade de um grupo de especialistas em segurança cibernética.

O Relatório de Riscos Globais 2022 do Fórum Econômico Mundial revelou que 95% dos problemas de segurança cibernética estavam "relacionados a fatores humanos".  Ou seja, não são as questões técnicas e tecnológicas as que mais colocam em risco cibernético uma organização.

Desta forma, a resposta correta para: Quem é responsável pela segurança cibernética? É, “todos”.

Mas como fazer com que “todos” entendam suas responsabilidades? Neste artigo destaco algumas dicas práticas para tornar a segurança cibernética uma responsabilidade de todos.

1. Política de uso aceitável

Uma política de uso aceitável é um bom ponto de partida. Esta política define para a equipe em geral o que eles podem e não podem fazer em termos de uso dos recursos de TI da empresa. Ela deve cobrir assuntos como, mas não se limitando, a:

• Escolher senhas seguras

• Não instalar software não autorizado

• Uso pessoal de equipamentos da organização
  

Essa política tem a intenção de direcionar os funcionários, mas ela também precisa ser amparada por controles técnicos para garantir a segurança.

2. Políticas e procedimentos específicos

Como a política de uso aceitável é mais genérica, também é necessário definir os aspectos específicos de segurança cibernética relacionados a diferentes funções em uma organização.

Por exemplo, funcionários que têm acesso a dados de cartão de crédito de clientes ou dados sobre a saúde de pacientes precisam de instruções específicas sobre como proteger esses dados.

3. Segurança cibernética nas descrições de cargo

Outro lugar onde as responsabilidades podem ser reforçadas é na descrição de cargos. Muitas descrições de cargo não mencionam responsabilidades de segurança da informação, mas são um local ideal para documentá-las.

Por exemplo, um estoquista que controla o estoque de produtos utilizando sistemas informatizados, também é responsável por proteger os dados da empresa contra acessos não autorizados. Assim, como um atendente de telemarketing que acessa sistemas de CRM para registrar pedidos e reclamações de clientes, lida com dados pessoais e precisa seguir protocolos de segurança para proteger essas informações.

4. Treinamento de conscientização em segurança cibernética

Atribuir responsabilidade é apenas uma etapa da conscientização que deve ser apoiada por treinamentos direcionados. Lembre-se que uma razão pela qual tantas violações de dados têm um elemento humano é que muitos ataques cibernéticos começam com engenharia social. Por isso, o treinamento de conscientização da equipe, destinado a todos os funcionários, independentemente do cargo, deve incluir especificamente ataques de engenharia social para que os funcionários sejam capazes de reconhecê-los e responder a eles.

Além disso, funcionários com responsabilidades mais específicas precisam de treinamento direcionados. Essa abordagem de treinamento mais granular e em camadas é cada vez mais reconhecida nos padrões de melhores práticas para proteger a segurança da informação e a privacidade.

Então, quem é responsável pela segurança cibernética?

Todos, contudo não da mesma maneira. A responsabilidade de cada um deve ser atribuída e documentada de forma específica, além de apoiada por treinamentos direcionados. Por isso, uma abordagem genérica não será suficiente para enfrentar o cenário atual de ameaças ou para atender aos padrões de compliance. E é aqui que podemos ajudá-lo.

A Total Privacy desenvolveu uma plataforma de treinamento em privacidade e segurança da informação que facilita o gerenciamento de treinamentos personalizados para casa membro da equipe.

Entre em contato para conhecer a nossa plataforma e capacite sua equipe para lidar com os desafios da era digital.

Andressa Segantini

Consultora de Privacidade e Proteção de Dados Pessoais

Andressa é especialista em privacidade e proteção de dados, com formação em relações internacionais, administração de empresas e direito digital. Sua expertise em gestão de projetos garante a implementação eficaz de programas de compliance com as leis de proteção de dados. Possui diversas certificações na área e demonstra seu compromisso com a atualização e o domínio das melhores práticas do mercado.

Caso tenha interesse em saber mais sobre como garantir a segurança e a privacidade dos dados pessoais na sua empresa, entre em contato. Estou aqui para ajudar.