Diversas pesquisas apontam que o elo mais frágil na cadeia de segurança cibernética é o fator humano. Mais da metade dos incidentes de segurança relatados pelas empresas foram provocados por atividades maliciosas ou, principalmente, negligentes, de seus funcionários. Alguns estudos chegam a indicar que a negligência é responsável por até 80% dos incidentes de segurança.
Mas, mesmo com consciência do alto risco interno para a segurança dos dados, muitas empresas não têm investido em melhores práticas. A maior parte das organizações conta com programas de treinamento, mas nem sempre com profundidade e conteúdo capaz de provocar mudanças no comportamento dos usuários capazes de reduzir o risco interno.
Muitas empresas oferecem um curso básico para todos os funcionários, que nem sempre abordam temas como ataques de phishing e de engenharia social, e menos ainda tópicos como segurança móvel e uso de serviços na nuvem. Além disso, nem sempre esses cursos são obrigatórios.
No planejamento estratégico da organização, a segurança cibernética deve estar entre as prioridades. E, no organograma, o Chief Information Security Officer deve se reportar diretamente ao CEO, talvez até aos membros do Conselho. Não importa o título do cargo, mas as organizações devem ter uma pessoa responsável pela segurança digital, que seja conhecida de todos e que cobre a prestação de contas.
Engaje seus funcionários
A estratégia de mitigação de riscos internos deve incluir, além do treinamento, a implantação de uma cultura que incentive a proatividade dos funcionários na proteção de informações sensíveis e no alerta de potenciais problemas.
A gamificação é uma forma de tornar o treinamento mais atrativo. Jogos interativos tornam o aprendizado mais agradável e facilitam a compreensão e retenção do conteúdo. E para implantar uma cultura de segurança, incentive os funcionários a relatar incidentes de segurança e proteger as informações confidenciais e sensíveis. Além disso, comunique de forma clara as consequências de uma violação de dados.
Saiba como proteger sua empresa dos incidentes de segurança.