A minha empresa precisa de um plano de conscientização em segurança da informação

A minha empresa precisa de um plano de conscientização em segurança da informação?

5 minutos de leitura

Saiba como as ações de conscientização em segurança de informação podem ser um diferencial.



Por Redação em 19/11/2020

Saiba como as ações de conscientização em segurança de informação podem ser um diferencial

Você já ouviu falar em um plano de conscientização em segurança da informação? Com a alta no número de ataques cibernéticos cada vez mais sofisticados, treinar os funcionários para que eles consigam identificar ameaças e proteger os ativos da organização é, no mínimo, fundamental.

Na primeira quinzena de novembro de 2020, a Capcom, desenvolvedora de franquias de jogos como Resident Evil e Street Fighter, sofreu um ataque ransomware em seus servidores. Em nota, a companhia informou que quase 1TB de dados foram comprometidos.

Para se ter uma ideia da dimensão do ataque, o ransomware teve acesso aos dados de:

  • 14 mil funcionários;
  • 28 mil ex-funcionários;
  • 125 mil candidatos a alguma vaga na empresa;
  • 40 mil acionistas;
  • 4 mil usuários do site de e-Sports;
  • 14 mil usuários da Capcom Store;
  • 134 mil pessoas que acessaram o serviço de atendimento ao cliente da companhia no Japão.

Além de vários dados terem sido vazados na internet, a Capcom comunicou ainda que o ataque destruiu e criptografou diversas informações dos servidores internos.

O caso da Capcom é só mais um entre os diversos vazamentos que têm acontecido nos últimos tempos. Quando a segurança da informação é comprometida, as empresas podem ter um prejuízo que vai além do financeiro.

Além do dano à reputação da marca e na confiança do cliente, a descoberta de vulnerabilidade dos sistemas gera uma perda de produtividade, como aponta um relatório da Radware.

Daí a importância de ter um programa de conscientização sobre segurança da informação. Principalmente no momento em que muitos colaboradores estão trabalhando remotamente e continuam sendo o elo mais fraco na cadeia de segurança.

banner pequeno plano de conscientização de segurança embratel

O que é um plano de conscientização em segurança da informação?

Diariamente você e seus funcionários recebem e-mails, SMS e até mesmo ligações (chamada de vishing, saiba mais sobre essa técnica aqui) com mensagens e links suspeitos.

Já é de praxe os hackers surgirem com novas técnicas e ferramentas para comprometer a segurança dos dados da sua organização.

Porém, muitas empresas possuem um comportamento em comum: o de apenas adotar tecnologias de segurança da informação e criar protocolos em casos de possíveis incidentes de segurança.

No entanto, o home office se popularizou de uma forma muito rápida e os funcionários estão em casa utilizando suas próprias máquinas, vários aplicativos de produtividade, acessando sites e sistemas da empresa usando a rede doméstica de Wi-Fi.

Se esse é o cenário atual dos colaboradores da sua empresa, qual treinamento eles receberam para não cair na tentação de clicar naquele anexo com o “boleto de cobrança de uma conta de telefone vencida”?

Por isso, é interessante sua empresa pensar em um programa de conscientização de segurança. Essa iniciativa vai promover treinamentos formais e planejados com o objetivo de capacitar os colaboradores sobre as ameaças em potencial à segurança da informação e como eles podem proteger os dados da companhia.

Com o objetivo de criar uma conscientização de segurança nos funcionários, esse programa vai não só ensiná-los a prever e evitar situações que possam comprometer os dados, mas também mantê-los atualizados sobre as ameaças mais atuais.

Por que criar um programa de conscientização é importante?

A resposta para a pergunta acima é, de certa maneira, bem simples: porque a Lei Geral de Proteção de Dados Pessoais (LGPD) está valendo no Brasil desde setembro. Apesar das multas só valerem em 2021, a publicização de um vazamento já pode gerar grandes prejuízos para uma empresa.

Voltando ao caso da Capcom, a companhia é global e possui subsidiárias na Califórnia (Estados Unidos) e em Saint-Germain-en-Laye (França). Nesses dois locais, há leis de proteção de dados pessoais e privacidade.

Provavelmente, a companhia pode sofrer penalidades da California Consumer Privacy Act (CCPA) e da General Data Protection Regulation (GDPR).

Isso reforça a importância de conscientizar o agente humano sobre as melhores práticas de segurança. Quando os colaboradores entendem como reconhecer ameaças, sabem utilizar ferramentas e técnicas para evitar vazamentos, eles se sentirão mais confiantes.

E essa confiança impacta bastante na experiência do cliente. O custo médio para recuperá-lo é de US$ 100 bilhões, destaca o relatório da Radware. Sem contar em ações judiciais: 41% dos executivos ouvidos na pesquisa disseram que seus consumidores entraram na justiça devido a episódios de violação de dados.

Sendo assim, é preciso pensar na segurança da informação como um ecossistema. Ao invés de encarar a proteção dos dados como um gasto com tecnologias, é necessário criar mecanismos de defesas por meio de um plano de conscientização para as equipes.

Até porque, sua empresa pode ter tecnologia de ponta para antecipar e mitigar ataques. Porém, com os funcionários em casa, dificilmente você saberá o que eles estão fazendo.

Com um número maior de endpoints, também é maior o número de portas que podem fragilizar a cibersegurança do seu negócio.

Embratel Talks trouxe especialista em engenharia social

Marina Ciavatta, engenheira social, participou da quarta edição do Embratel Talks, dedicada à LGPD. Durante o encontro ela explicou por que a busca pelas melhores práticas de segurança deve ser uma constante. Principalmente porque empregados e colaboradores são o elo mais fraco nessa relação.

Reveja a participação de Marina Ciavatta no Embratel Talks – LGPD: Conectando dados à informação.

Como iniciar um plano de conscientização?

A realidade das empresas é essa: o orçamento está apertado. Mas isso não significa que um plano de conscientização em segurança da informação não possa ser construído.

Como já citamos neste artigo sobre segurança cibernética, o desenvolvimento das melhores práticas para evitar vulnerabilidade e acessos não autorizados em aplicativos pode ser feito em camadas.

No caso de um programa de conscientização sobre segurança da informação, a empresa deve ter em mente o seguinte: não é apenas enviar e-mails com dicas para os funcionários.

Cada área tem um comportamento próprio quanto ao uso consciente dos dados. Então, se você quer começar a desenvolver as melhores práticas de segurança, trouxemos 3 dicas que vão lhe ajudar a dar o pontapé nessa iniciativa:

1. Personalização e atualização
Os ataques evoluem constantemente e numa velocidade que nem sempre é fácil de acompanhar.

Criar um plano de segurança deve considerar dois aspectos: um é que o time de TI tem uma perspectiva diferente da equipe de marketing sobre ameaças cibernéticas, o que pode exigir um programa personalizado para cada área.

O segundo é acompanhar, por exemplo, consultorias de mercado que divulgam as principais ameaças do mês para atualizar o plano sempre que possível.

2. Escopo
Você sabe quais são os riscos cibernéticos que sua empresa está sujeita? Ter uma noção de possíveis vulnerabilidades vai ajudar a definir o escopo do projeto.

Lançar vídeos em pílulas sobre como usar sites e aplicativo corporativos de forma segura ou marcar um treinamento on-line com duração de várias horas?

3. Custo
O orçamento pode não ser grande, então fica a questão: ofertar um treinamento completo ou em etapas?

Independentemente da resposta, entenda que o plano deve ser feito exclusivamente para o público interno. Quanto mais fácil ele for de ser acompanhado, menor os gastos.

A Embratel ajuda nessa jornada

Com um portfólio completo em segurança da informação, a Embratel realiza também um trabalho consultivo, ajudando você a mapear os principais pontos de vulnerabilidades do seu negócio e evitando ataques e vazamento de dados.

Se você quer iniciar um programa de conscientização em segurança da informação, conte com a Embratel para desenvolver as melhores práticas entre os seus colaboradores.

Não deixe de conferir também nosso infográfico com as principais soluções de segurança que vão lhe ajudar a identificar ameaças cibernéticas, evitar perda de clientes e de reputação de marca, além de deixar seu negócio em conformidade com a LGPD.

banner pequeno plano de conscientização de segurança embratel

Repassando o que vimos neste post

  • Plano de conscientização em segurança da informação é importante para ensinar colaboradores a identificar e evitar ameaças cibernéticas.
  • É uma forma diminuir a vulnerabilidade da empresa e evitar vazamento de dados, uma vez que os ataques estão cada vez mais sofisticados.
  • Sem contar com os prejuízos financeiros, de reputação de marca e outras penalidades previstas por leis de proteção de dados, como a LGPD.


Matérias relacionadas

varejo tecnologia Estratégia

Varejo usa tecnologia para entregar boa experiência de consumo 

Com participação do Boticário, 5º episódio da minissérie Empresas Líquidas mostra como os dados e a tecnologia empoderam o cliente no varejo

nuvem seguranca Estratégia

Nuvem e Inteligência Artificial trazem avanços na segurança da informação

Relatório da Brasscom mostra que ajustes nas práticas de segurança cibernética em ambientes de nuvem são um dos principais desafios dos gestores de TI

seguranca Estratégia

Segurança até no cafezinho

"É preciso, quando falamos de cibersegurança, encontrar a naturalidade ao tratar de temas complexos e simples"

bcg Estratégia

Adoção de tecnologia pode aumentar receita em até 25%, aponta BCG

Estudo recomenda que as empresas identifiquem as soluções que possam gerar mais valor para toda a organização