Empresas que possuem diretrizes de segurança da informação, levam grande vantagem em relação a seus concorrentes
Existem muitas empresas que começam a se preocupar com a segurança da informação somente após um incidente ou obrigação legal. No entanto, do ponto de vista dos especialistas da área, essa preocupação deve existir desde o nascimento da organização (“Security by Design”), pois quanto antes o compromisso com a segurança acontecer, maiores as chances desta ficar blindada contra os ataques mais comuns do dia a dia.
Além de todos os funcionários estarem na mesma página ao longo dos processos corporativos, há uma grande vantagem das empresas que possuam política de segurança da informação, para as que não dão a devida atenção, além de estarem mais preparadas para incidentes e menos suscetível a impactos a seus negócios, torna-se habitual e natural a tratativa com a prevenção e mitigação de incidentes, sendo apenas mais um processo a ser seguido.
Entenda os principais pontos a serem considerados em uma implementação de conscientização de segurança da informação:
O gestor da campanha de conscientização deve compreender o ponto de partida institucional da empresa, e checar a existência das políticas e se há boas práticas de Segurança, além de mapear se todos os funcionários estão cientes das políticas de segurança e Proteção de Dados.
As necessidades e práticas de segurança podem mudar no decorrer do tempo, e especialmente em planos contínuos como uma campanha de conscientização. É importante manter todos os funcionários com a mente aberta para continuar absorvendo as novidades e em nenhum momento acharem que estão atualizados e já sabem como se prevenir de todas as vulnerabilidades.
Antes mesmo de traçar uma estratégia ou convidar os times para participar de um brainstorm e entender o que seria importante para cada área dentro da organização, a empresa e/ou o gestor da campanha deve realizar um levantamento dos riscos mais iminentes para o negócio, e já possuir uma visão funcional do status de segurança e alternativas de proteção para a empresa como um todo.
Não são todas as empresas que precisam passar por uma drástica transformação de comportamento para terem uma rotina mais segura, tudo vai depender da maturidade em que se encontram no processo de segurança da informação. Um bom gestor deve avaliar isso para apresentar as melhores ações, assim como analisar os setores que seguem melhor as políticas já existentes e quais precisarão de maior atenção.
É importante que o alto escalão da empresa entenda os riscos que o negócio pode sofrer com as ameaças de segurança, bem como a importância de elevar o conhecimento dos colaboradores no tema. Programas de conscientização e políticas “patrocinadas” são mais propensos a serem aceitos e seguidos, além de auxiliarem diretamente ao plano de continuidade de negócios e de recuperação de desastres.
A melhor ferramenta de uma estratégia de conscientização é, sem dúvidas, a comunicação interna de uma empresa, sendo um dos principais responsáveis pelo sucesso ou fracasso de uma estratégia de grande impacto na cultura organizacional.
*Denis Riviello é especialista de Segurança, com mais de 20 anos de experiência em concepção e estruturação personalizada de áreas responsáveis por segurança da informação de grandes empresas, além de estar à frente das Áreas de Segurança e Customer Success da Compugraf
