Por: Perry Carpenter, Evangelista Chefe e Diretor de Estratégia, KnowBe4

É bom que o uso crescente da expressão cultura de segurança sinalize um entendimento cada vez maior de que a simples consciência de segurança não é suficiente. E – mais importante – sinaliza que as pessoas entendem que as tecnologias de segurança não oferecem proteção total ou suficiente contra violações de dados.  

Então, qual é a parte sobre o uso crescente da expressão cultura de segurança? É esta: a maioria das pessoas usa a expressão cultura de segurança sem saber o que significa. Isso é um problema. 

Deixe-me colocar isso em perspectiva. No Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense Layer, Kai Roer e eu descrevemos os resultados de um estudo realizado pela Forrester Consulting em nome da KnowBe4. Nesse estudo de mais de 1.000 profissionais de segurança com responsabilidades de nível gerencial ou superior, a Forrester descobriu que 94% dos entrevistados acreditam que uma forte cultura de segurança é um componente crítico de um bom programa de segurança. Isso é ótimo – mas o lado negativo é que o estudo também descobriu que não havia concordância geral sobre o que isso significava. Cerca de 750 definições distintas e diferentes foram dadas pelo grupo de respondentes. A gama de definições era bastante ampla, mas se enquadrava em 5 categorias principais, da seguinte forma:  

• 29% dos respondentes acreditavam que a cultura de segurança é o cumprimento das políticas de segurança.  

• 24% disseram que era ter uma conscientização e entendimento das questões de segurança.  

• 22% disseram que era o reconhecimento de que a segurança é uma responsabilidade compartilhada em toda a organização.  

• 14% indicaram que tinha algo a ver com o estabelecimento de grupos formais de pessoas que poderiam ajudar a influenciar as decisões de segurança. 

• 12% disseram que uma boa cultura de segurança significava que a segurança estava incorporada à organização. 

Agora imagine ter uma discussão com uma sala cheia de 1.000 pessoas e pedir a todos que acreditam que X é importante para levantar a mão. Se 94% das pessoas levantarem a mão, você pode pensar que todos estão na mesma página e o único trabalho a ser feito é motivar as pessoas a agir com base em sua crença. Então você os envia para executar sua crença e agora todos se dispersam... eles não tinham uma compreensão clara de onde deveriam ir ou como chegar lá. Situações como essa pertencem a esquetes de comédia, não como parte das suposições inconscientes que conduzem nossos programas de segurança e gestão de riscos. 

É por isso que as definições são importantes. 

Então, o que é cultura de segurança? Aqui está uma definição que nós (Kai Roer e eu) propomos, enraizada em uma profunda pesquisa nas ciências sociais: 

Cultura de Segurança são as ideias, costumes e comportamentos sociais de uma organização que influenciam sua segurança. 

A cultura de segurança pode (e deve) também ser medida para que sua organização possa começar a entender onde está e para onde deseja ir. Em outras palavras, você entende do que consiste a cultura de segurança para poder medi-la. E você a mede para poder começar a melhorá-la. 

Quando se trata de medir a cultura de segurança, recomendamos medir em sete dimensões distintas:  

• Atitudes: Sentimentos e crenças dos funcionários sobre protocolos e questões de segurança. 

• Comportamentos: Ações dos funcionários que impactam a segurança direta ou indiretamente. 

• Cognição: Compreensão, conhecimento e conscientização dos funcionários sobre questões e atividades de segurança. 

• Comunicação: Quão bem os canais de comunicação promovem um senso de pertencimento e oferecem suporte relacionado a questões de segurança e relato de incidentes. 

• Conformidade: Conhecimento e suporte dos funcionários às políticas de segurança. 

• Normas: Conhecimento e adesão dos funcionários às regras não escritas de conduta relacionadas à segurança.

• Responsabilidades: Como os funcionários percebem seu papel como um fator crítico para ajudar ou prejudicar a segurança.

Agora você pode ver claramente que a cultura de segurança pode ser um conceito bastante profundo. Vai ao cerne do que seu pessoal pensa, o que eles valorizam, as ações que escolhem tomar, as ações que escolhem evitar, como interagem uns com os outros e muito mais. Em outras palavras, sua cultura de segurança é o coração pulsante de como seu pessoal se envolve com seu programa de segurança, seu ecossistema de TI, seus dados e todos os outros aspectos relacionados à segurança de sua organização.   

Como vimos nos últimos anos, a grande maioria das violações de dados pode ser rastreada até a engenharia social ou algum tipo de erro humano. Vamos encarar isso... precisamos fazer melhor. Nossas tecnologias não são adequadas para fornecer maneiras à prova de falhas para proteger dados. E a conscientização – por si só – não é suficiente para moldar crenças, valores, comportamentos e normas sociais. A melhor maneira de avançar é melhorar continuamente a tecnologia que temos, ao mesmo tempo em que nos comprometemos a focar intensamente e intencionalmente no fortalecimento de nossa camada humana.