Segurança

A minha empresa precisa de um plano de conscientização em segurança da informação?

19/11/2020

Tempo estimado de leitura: 5 minutos

Saiba como as ações de conscientização em segurança de informação podem ser um diferencial

Você já ouviu falar em um plano de conscientização em segurança da informação? Com a alta no número de ataques cibernéticos cada vez mais sofisticados, treinar os funcionários para que eles consigam identificar ameaças e proteger os ativos da organização é, no mínimo, fundamental.

Na primeira quinzena de novembro de 2020, a Capcom, desenvolvedora de franquias de jogos como Resident Evil e Street Fighter, sofreu um ataque ransomware em seus servidores. Em nota, a companhia informou que quase 1TB de dados foram comprometidos.

Para se ter uma ideia da dimensão do ataque, o ransomware teve acesso aos dados de:

  • 14 mil funcionários;
  • 28 mil ex-funcionários;
  • 125 mil candidatos a alguma vaga na empresa;
  • 40 mil acionistas;
  • 4 mil usuários do site de e-Sports;
  • 14 mil usuários da Capcom Store;
  • 134 mil pessoas que acessaram o serviço de atendimento ao cliente da companhia no Japão.

Além de vários dados terem sido vazados na internet, a Capcom comunicou ainda que o ataque destruiu e criptografou diversas informações dos servidores internos.

O caso da Capcom é só mais um entre os diversos vazamentos que têm acontecido nos últimos tempos. Quando a segurança da informação é comprometida, as empresas podem ter um prejuízo que vai além do financeiro.

Além do dano à reputação da marca e na confiança do cliente, a descoberta de vulnerabilidade dos sistemas gera uma perda de produtividade, como aponta um relatório da Radware.

Daí a importância de ter um programa de conscientização sobre segurança da informação. Principalmente no momento em que muitos colaboradores estão trabalhando remotamente e continuam sendo o elo mais fraco na cadeia de segurança.

banner pequeno plano de conscientização de segurança embratel

O que é um plano de conscientização em segurança da informação?

Diariamente você e seus funcionários recebem e-mails, SMS e até mesmo ligações (chamada de vishing, saiba mais sobre essa técnica aqui) com mensagens e links suspeitos.

Já é de praxe os hackers surgirem com novas técnicas e ferramentas para comprometer a segurança dos dados da sua organização.

Porém, muitas empresas possuem um comportamento em comum: o de apenas adotar tecnologias de segurança da informação e criar protocolos em casos de possíveis incidentes de segurança.

No entanto, o home office se popularizou de uma forma muito rápida e os funcionários estão em casa utilizando suas próprias máquinas, vários aplicativos de produtividade, acessando sites e sistemas da empresa usando a rede doméstica de Wi-Fi.

Se esse é o cenário atual dos colaboradores da sua empresa, qual treinamento eles receberam para não cair na tentação de clicar naquele anexo com o “boleto de cobrança de uma conta de telefone vencida”?

Por isso, é interessante sua empresa pensar em um programa de conscientização de segurança. Essa iniciativa vai promover treinamentos formais e planejados com o objetivo de capacitar os colaboradores sobre as ameaças em potencial à segurança da informação e como eles podem proteger os dados da companhia.

Com o objetivo de criar uma conscientização de segurança nos funcionários, esse programa vai não só ensiná-los a prever e evitar situações que possam comprometer os dados, mas também mantê-los atualizados sobre as ameaças mais atuais.

Por que criar um programa de conscientização é importante?

A resposta para a pergunta acima é, de certa maneira, bem simples: porque a Lei Geral de Proteção de Dados Pessoais (LGPD) está valendo no Brasil desde setembro. Apesar das multas só valerem em 2021, a publicização de um vazamento já pode gerar grandes prejuízos para uma empresa.

Voltando ao caso da Capcom, a companhia é global e possui subsidiárias na Califórnia (Estados Unidos) e em Saint-Germain-en-Laye (França). Nesses dois locais, há leis de proteção de dados pessoais e privacidade.

Provavelmente, a companhia pode sofrer penalidades da California Consumer Privacy Act (CCPA) e da General Data Protection Regulation (GDPR).

Isso reforça a importância de conscientizar o agente humano sobre as melhores práticas de segurança. Quando os colaboradores entendem como reconhecer ameaças, sabem utilizar ferramentas e técnicas para evitar vazamentos, eles se sentirão mais confiantes.

E essa confiança impacta bastante na experiência do cliente. O custo médio para recuperá-lo é de US$ 100 bilhões, destaca o relatório da Radware. Sem contar em ações judiciais: 41% dos executivos ouvidos na pesquisa disseram que seus consumidores entraram na justiça devido a episódios de violação de dados.

Sendo assim, é preciso pensar na segurança da informação como um ecossistema. Ao invés de encarar a proteção dos dados como um gasto com tecnologias, é necessário criar mecanismos de defesas por meio de um plano de conscientização para as equipes.

Até porque, sua empresa pode ter tecnologia de ponta para antecipar e mitigar ataques. Porém, com os funcionários em casa, dificilmente você saberá o que eles estão fazendo.

Com um número maior de endpoints, também é maior o número de portas que podem fragilizar a cibersegurança do seu negócio.

Embratel Talks trouxe especialista em engenharia social

Marina Ciavatta, engenheira social, participou da quarta edição do Embratel Talks, dedicada à LGPD. Durante o encontro ela explicou por que a busca pelas melhores práticas de segurança deve ser uma constante. Principalmente porque empregados e colaboradores são o elo mais fraco nessa relação.

Reveja a participação de Marina Ciavatta no Embratel Talks – LGPD: Conectando dados à informação.

Como iniciar um plano de conscientização?

A realidade das empresas é essa: o orçamento está apertado. Mas isso não significa que um plano de conscientização em segurança da informação não possa ser construído.

Como já citamos neste artigo sobre segurança cibernética, o desenvolvimento das melhores práticas para evitar vulnerabilidade e acessos não autorizados em aplicativos pode ser feito em camadas.

No caso de um programa de conscientização sobre segurança da informação, a empresa deve ter em mente o seguinte: não é apenas enviar e-mails com dicas para os funcionários.

Cada área tem um comportamento próprio quanto ao uso consciente dos dados. Então, se você quer começar a desenvolver as melhores práticas de segurança, trouxemos 3 dicas que vão lhe ajudar a dar o pontapé nessa iniciativa:

1. Personalização e atualização
Os ataques evoluem constantemente e numa velocidade que nem sempre é fácil de acompanhar.

Criar um plano de segurança deve considerar dois aspectos: um é que o time de TI tem uma perspectiva diferente da equipe de marketing sobre ameaças cibernéticas, o que pode exigir um programa personalizado para cada área.

O segundo é acompanhar, por exemplo, consultorias de mercado que divulgam as principais ameaças do mês para atualizar o plano sempre que possível.

2. Escopo
Você sabe quais são os riscos cibernéticos que sua empresa está sujeita? Ter uma noção de possíveis vulnerabilidades vai ajudar a definir o escopo do projeto.

Lançar vídeos em pílulas sobre como usar sites e aplicativo corporativos de forma segura ou marcar um treinamento on-line com duração de várias horas?

3. Custo
O orçamento pode não ser grande, então fica a questão: ofertar um treinamento completo ou em etapas?

Independentemente da resposta, entenda que o plano deve ser feito exclusivamente para o público interno. Quanto mais fácil ele for de ser acompanhado, menor os gastos.

A Embratel ajuda nessa jornada

Com um portfólio completo em segurança da informação, a Embratel realiza também um trabalho consultivo, ajudando você a mapear os principais pontos de vulnerabilidades do seu negócio e evitando ataques e vazamento de dados.

Se você quer iniciar um programa de conscientização em segurança da informação, conte com a Embratel para desenvolver as melhores práticas entre os seus colaboradores.

Não deixe de conferir também nosso infográfico com as principais soluções de segurança que vão lhe ajudar a identificar ameaças cibernéticas, evitar perda de clientes e de reputação de marca, além de deixar seu negócio em conformidade com a LGPD.

banner pequeno plano de conscientização de segurança embratel

Repassando o que vimos neste post

  • Plano de conscientização em segurança da informação é importante para ensinar colaboradores a identificar e evitar ameaças cibernéticas.
  • É uma forma diminuir a vulnerabilidade da empresa e evitar vazamento de dados, uma vez que os ataques estão cada vez mais sofisticados.
  • Sem contar com os prejuízos financeiros, de reputação de marca e outras penalidades previstas por leis de proteção de dados, como a LGPD.

Compartilhe:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *