Saiba como as ações de conscientização em segurança de informação podem ser um diferencial
Você já ouviu falar em um plano de conscientização em segurança da informação? Com a alta no número de ataques cibernéticos cada vez mais sofisticados, treinar os funcionários para que eles consigam identificar ameaças e proteger os ativos da organização é, no mínimo, fundamental.
Na primeira quinzena de novembro de 2020, a Capcom, desenvolvedora de franquias de jogos como Resident Evil e Street Fighter, sofreu um ataque ransomware em seus servidores. Em nota, a companhia informou que quase 1TB de dados foram comprometidos.
Para se ter uma ideia da dimensão do ataque, o ransomware teve acesso aos dados de:
- 14 mil funcionários;
- 28 mil ex-funcionários;
- 125 mil candidatos a alguma vaga na empresa;
- 40 mil acionistas;
- 4 mil usuários do site de e-Sports;
- 14 mil usuários da Capcom Store;
- 134 mil pessoas que acessaram o serviço de atendimento ao cliente da companhia no Japão.
Além de vários dados terem sido vazados na internet, a Capcom comunicou ainda que o ataque destruiu e criptografou diversas informações dos servidores internos.
O caso da Capcom é só mais um entre os diversos vazamentos que têm acontecido nos últimos tempos. Quando a segurança da informação é comprometida, as empresas podem ter um prejuízo que vai além do financeiro.
Além do dano à reputação da marca e na confiança do cliente, a descoberta de vulnerabilidade dos sistemas gera uma perda de produtividade, como aponta um relatório da Radware.
Daí a importância de ter um programa de conscientização sobre segurança da informação. Principalmente no momento em que muitos colaboradores estão trabalhando remotamente e continuam sendo o elo mais fraco na cadeia de segurança.
O que é um plano de conscientização em segurança da informação?
Diariamente você e seus funcionários recebem e-mails, SMS e até mesmo ligações (chamada de vishing, saiba mais sobre essa técnica aqui) com mensagens e links suspeitos.
Já é de praxe os hackers surgirem com novas técnicas e ferramentas para comprometer a segurança dos dados da sua organização.
Porém, muitas empresas possuem um comportamento em comum: o de apenas adotar tecnologias de segurança da informação e criar protocolos em casos de possíveis incidentes de segurança.
No entanto, o home office se popularizou de uma forma muito rápida e os funcionários estão em casa utilizando suas próprias máquinas, vários aplicativos de produtividade, acessando sites e sistemas da empresa usando a rede doméstica de Wi-Fi.
Se esse é o cenário atual dos colaboradores da sua empresa, qual treinamento eles receberam para não cair na tentação de clicar naquele anexo com o “boleto de cobrança de uma conta de telefone vencida”?
Por isso, é interessante sua empresa pensar em um programa de conscientização de segurança. Essa iniciativa vai promover treinamentos formais e planejados com o objetivo de capacitar os colaboradores sobre as ameaças em potencial à segurança da informação e como eles podem proteger os dados da companhia.
Com o objetivo de criar uma conscientização de segurança nos funcionários, esse programa vai não só ensiná-los a prever e evitar situações que possam comprometer os dados, mas também mantê-los atualizados sobre as ameaças mais atuais.
Por que criar um programa de conscientização é importante?
A resposta para a pergunta acima é, de certa maneira, bem simples: porque a Lei Geral de Proteção de Dados Pessoais (LGPD) está valendo no Brasil desde setembro. Apesar das multas só valerem em 2021, a publicização de um vazamento já pode gerar grandes prejuízos para uma empresa.
Voltando ao caso da Capcom, a companhia é global e possui subsidiárias na Califórnia (Estados Unidos) e em Saint-Germain-en-Laye (França). Nesses dois locais, há leis de proteção de dados pessoais e privacidade.
Provavelmente, a companhia pode sofrer penalidades da California Consumer Privacy Act (CCPA) e da General Data Protection Regulation (GDPR).
Isso reforça a importância de conscientizar o agente humano sobre as melhores práticas de segurança. Quando os colaboradores entendem como reconhecer ameaças, sabem utilizar ferramentas e técnicas para evitar vazamentos, eles se sentirão mais confiantes.
E essa confiança impacta bastante na experiência do cliente. O custo médio para recuperá-lo é de US$ 100 bilhões, destaca o relatório da Radware. Sem contar em ações judiciais: 41% dos executivos ouvidos na pesquisa disseram que seus consumidores entraram na justiça devido a episódios de violação de dados.
Sendo assim, é preciso pensar na segurança da informação como um ecossistema. Ao invés de encarar a proteção dos dados como um gasto com tecnologias, é necessário criar mecanismos de defesas por meio de um plano de conscientização para as equipes.
Até porque, sua empresa pode ter tecnologia de ponta para antecipar e mitigar ataques. Porém, com os funcionários em casa, dificilmente você saberá o que eles estão fazendo.
Com um número maior de endpoints, também é maior o número de portas que podem fragilizar a cibersegurança do seu negócio.
Embratel Talks trouxe especialista em engenharia social
Marina Ciavatta, engenheira social, participou da quarta edição do Embratel Talks, dedicada à LGPD. Durante o encontro ela explicou por que a busca pelas melhores práticas de segurança deve ser uma constante. Principalmente porque empregados e colaboradores são o elo mais fraco nessa relação.
Reveja a participação de Marina Ciavatta no Embratel Talks – LGPD: Conectando dados à informação.
Como iniciar um plano de conscientização?
A realidade das empresas é essa: o orçamento está apertado. Mas isso não significa que um plano de conscientização em segurança da informação não possa ser construído.
Como já citamos neste artigo sobre segurança cibernética, o desenvolvimento das melhores práticas para evitar vulnerabilidade e acessos não autorizados em aplicativos pode ser feito em camadas.
No caso de um programa de conscientização sobre segurança da informação, a empresa deve ter em mente o seguinte: não é apenas enviar e-mails com dicas para os funcionários.
Cada área tem um comportamento próprio quanto ao uso consciente dos dados. Então, se você quer começar a desenvolver as melhores práticas de segurança, trouxemos 3 dicas que vão lhe ajudar a dar o pontapé nessa iniciativa:
1. Personalização e atualização
Os ataques evoluem constantemente e numa velocidade que nem sempre é fácil de acompanhar.
Criar um plano de segurança deve considerar dois aspectos: um é que o time de TI tem uma perspectiva diferente da equipe de marketing sobre ameaças cibernéticas, o que pode exigir um programa personalizado para cada área.
O segundo é acompanhar, por exemplo, consultorias de mercado que divulgam as principais ameaças do mês para atualizar o plano sempre que possível.
2. Escopo
Você sabe quais são os riscos cibernéticos que sua empresa está sujeita? Ter uma noção de possíveis vulnerabilidades vai ajudar a definir o escopo do projeto.
Lançar vídeos em pílulas sobre como usar sites e aplicativo corporativos de forma segura ou marcar um treinamento on-line com duração de várias horas?
3. Custo
O orçamento pode não ser grande, então fica a questão: ofertar um treinamento completo ou em etapas?
Independentemente da resposta, entenda que o plano deve ser feito exclusivamente para o público interno. Quanto mais fácil ele for de ser acompanhado, menor os gastos.
A Embratel ajuda nessa jornada
Com um portfólio completo em segurança da informação, a Embratel realiza também um trabalho consultivo, ajudando você a mapear os principais pontos de vulnerabilidades do seu negócio e evitando ataques e vazamento de dados.
Se você quer iniciar um programa de conscientização em segurança da informação, conte com a Embratel para desenvolver as melhores práticas entre os seus colaboradores.
Não deixe de conferir também nosso infográfico com as principais soluções de segurança que vão lhe ajudar a identificar ameaças cibernéticas, evitar perda de clientes e de reputação de marca, além de deixar seu negócio em conformidade com a LGPD.
Repassando o que vimos neste post
- Plano de conscientização em segurança da informação é importante para ensinar colaboradores a identificar e evitar ameaças cibernéticas.
- É uma forma diminuir a vulnerabilidade da empresa e evitar vazamento de dados, uma vez que os ataques estão cada vez mais sofisticados.
- Sem contar com os prejuízos financeiros, de reputação de marca e outras penalidades previstas por leis de proteção de dados, como a LGPD.