(ISC)² destaca importância de definir regras claras e investir cada vez mais na qualificação dos profissionais de todas as partes da organização
Com as informações digitais cada vez mais na mira dos cibercriminosos, criar estruturas para melhorar a segurança dos dados tem se tornado uma real prioridade das organizações. Investir em novas soluções e sistemas, porém, pode já não ser mais o suficiente. O (ISC)², principal instituto do mundo focado em educação e certificações profissionais em Segurança da Informação e Cibersegurança, alerta que o sucesso das estratégias de proteção digital precisa começar com a implementação de um projeto de transformação cultural, com ações baseadas na qualificação técnica e na orientação da equipe.
“Precisamos entender que nenhuma tecnologia será capaz de tornar a empresa segura sem que, ao mesmo tempo, os colaboradores entendam suas responsabilidades e os riscos de suas tarefas”, diz Gina van Dijk, Diretora Regional do (ISC)² América Latina. “Estudos indicam que quase dois terços de todas os vazamentos de dados começam dentro das organizações, com aparelhos mal configurados, processos complexos ou iniciativas falhas.”
Para mudar esse cenário e evitar problemas como o roubo de informações sigilosas (sobre os negócios ou clientes), os líderes de TI e de negócios precisam entender a importância dos dados em seus resultados e, com isso, assumir suas responsabilidades como grandes impulsionadores das ações de segurança dentro de suas operações. Nesse sentido, os especialistas do (ISC)² destacam cinco dicas fundamentais para construir estratégias de cibersegurança nas empresas. São elas:
Em maior ou menor grau, toda empresa que coleta, armazena e utiliza informações digitais está, hoje, diante de uma verdadeira ameaça. O que difere cada companhia, no entanto, é o que precisa ser feito para garantir a proteção, eficiência e a conformidade no uso dos dados. Por isso, antes de adotar tecnologias ou propor processos, é importante que os líderes entendam bem as características de seus próprios negócios, identificando e analisando todos quais são as aplicações, produtos, serviços e processos para se cria uma estrutura de proteção realmente funcional dentro da organização. Isso implica entender quais são as informações a serem trabalhadas, quem são os grupos que poderão acessá-las e de que maneira elas impactam (ou podem impactar) o resultado geral da companhia, além de quais serão as ferramentas e indicadores a serem implementados.
Após a análise e verificação inicial, é importante apresentar um plano de ação capaz de orientar e controlar o trabalho de toda a equipe. “É importante criar uma cultura integrada, com políticas que permitam garantir a inovação interna e a proteção dos ativos digitais de uma maneira mais clara e objetiva”, explica Gina.
Pesquisas apontam que, apesar de ser cada vez mais importante na rotina dos negócios, a maior parte das empresas ainda tem dúvidas sobre os processos internos e em como manusear as informações. Essa situação pode ser contornada, cada vez mais, com os líderes implementando planos e metas que sejam realmente aplicáveis para todas as áreas e unidades do negócio.
Nenhum investimento em tecnologia ou em projetos de transformação cultural será efetivamente funcional sem a participação dos colaboradores. “A grande maioria das fraudes e roubos virtuais, hoje, vem dos ataques de Phishing, com a invasão feita a partir de links maliciosos, enviados com iscas contaminadas. Os colaboradores precisam ter conhecimento sobre o que isso significa e como eles devem agir para evitar as ameaças. As pessoas devem entender que elas fazem parte do tema e são essenciais para o sucesso das iniciativas de segurança”, diz a diretora.
O sucesso depende da adesão de todos os grupos e pessoas, indo dos líderes executivos até o profissional mais júnior do time. Por isso, é essencial ter uma equipe certificada e capacitada para mapear riscos, entender potenciais fragilidades e ajustar constantemente os procedimentos de segurança.
Além de novas estruturas e processos, a proteção de dados depende também da qualificação técnica e da valorização das equipes de segurança. Segundo pesquisas do (ISC)², 70% das empresas ao redor do mundo pretendem contratar especialistas em cibersegurança, mas o déficit global de quase 3 milhões de profissionais tem tornado a tarefa de atrair e reter talentos cada vez mais desafiadora. Uma saída para driblar essa questão é aproveitar os atuais colaboradores da companhia para formar especialistas certificados e já adaptados ao modo de trabalho da organização.
A indústria de cibersegurança está em constante transformação. Não apenas devido ao constante aprimoramento das soluções, mas também (e principalmente) porque as ameaças mudam e evoluem sempre de forma veloz, muitas vezes superando inclusive a capacidade das barreiras de proteção. “Por isso, é importante manter o projeto de cibersegurança sempre ativo e presente nas conversas e discussões dos conselhos de gestão. A inovação vista pela Computação em Nuvem e Internet das Coisas, por exemplo, tem tudo para ampliar os riscos, e o melhor a se fazer é controlar e prevenir qualquer vulnerabilidade”, explica Gina.
