Cibersegurança para Negócios

20 de out. de 2022

|

4

4

4

Leitura Rápida

A Conexão da Cultura de Segurança

Você notou a frase "cultura de segurança" sendo usada com frequência recentemente? Tornou-se um pouco uma frase de segurança do dia. Isso é tanto uma coisa boa quanto ruim.

A Conexão da Cultura de Segurança
A Conexão da Cultura de Segurança
A Conexão da Cultura de Segurança

Por: Perry Carpenter, Evangelista Chefe e Diretor de Estratégia, KnowBe4

É bom que o uso crescente da expressão cultura de segurança sinalize um entendimento cada vez maior de que a simples consciência de segurança não é suficiente. E – mais importante – sinaliza que as pessoas entendem que as tecnologias de segurança não oferecem proteção total ou suficiente contra violações de dados.  

Então, qual é a parte sobre o uso crescente da expressão cultura de segurança? É esta: a maioria das pessoas usa a expressão cultura de segurança sem saber o que significa. Isso é um problema. 

Deixe-me colocar isso em perspectiva. No Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense Layer, Kai Roer e eu descrevemos os resultados de um estudo realizado pela Forrester Consulting em nome da KnowBe4. Nesse estudo de mais de 1.000 profissionais de segurança com responsabilidades de nível gerencial ou superior, a Forrester descobriu que 94% dos entrevistados acreditam que uma forte cultura de segurança é um componente crítico de um bom programa de segurança. Isso é ótimo – mas o lado negativo é que o estudo também descobriu que não havia concordância geral sobre o que isso significava. Cerca de 750 definições distintas e diferentes foram dadas pelo grupo de respondentes. A gama de definições era bastante ampla, mas se enquadrava em 5 categorias principais, da seguinte forma:  

  • 29% dos respondentes acreditavam que a cultura de segurança é o cumprimento das políticas de segurança.  

  • 24% disseram que era ter uma conscientização e entendimento das questões de segurança.  

  • 22% disseram que era o reconhecimento de que a segurança é uma responsabilidade compartilhada em toda a organização.  

  • 14% indicaram que tinha algo a ver com o estabelecimento de grupos formais de pessoas que poderiam ajudar a influenciar as decisões de segurança. 

  • 12% disseram que uma boa cultura de segurança significava que a segurança estava incorporada à organização. 

Agora imagine ter uma discussão com uma sala cheia de 1.000 pessoas e pedir a todos que acreditam que X é importante para levantar a mão. Se 94% das pessoas levantarem a mão, você pode pensar que todos estão na mesma página e o único trabalho a ser feito é motivar as pessoas a agir com base em sua crença. Então você os envia para executar sua crença e agora todos se dispersam... eles não tinham uma compreensão clara de onde deveriam ir ou como chegar lá. Situações como essa pertencem a esquetes de comédia, não como parte das suposições inconscientes que conduzem nossos programas de segurança e gestão de riscos. 

É por isso que as definições são importantes. 

Então, o que é cultura de segurança? Aqui está uma definição que nós (Kai Roer e eu) propomos, enraizada em uma profunda pesquisa nas ciências sociais: 

Cultura de Segurança são as ideias, costumes e comportamentos sociais de uma organização que influenciam sua segurança. 

A cultura de segurança pode (e deve) também ser medida para que sua organização possa começar a entender onde está e para onde deseja ir. Em outras palavras, você entende do que consiste a cultura de segurança para poder medi-la. E você a mede para poder começar a melhorá-la. 

Quando se trata de medir a cultura de segurança, recomendamos medir em sete dimensões distintas:  

  • Atitudes: Sentimentos e crenças dos funcionários sobre protocolos e questões de segurança. 

  • Comportamentos: Ações dos funcionários que impactam a segurança direta ou indiretamente. 

  • Cognição: Compreensão, conhecimento e conscientização dos funcionários sobre questões e atividades de segurança. 

  • Comunicação: Quão bem os canais de comunicação promovem um senso de pertencimento e oferecem suporte relacionado a questões de segurança e relato de incidentes. 

  • Conformidade: Conhecimento e suporte dos funcionários às políticas de segurança. 

  • Normas: Conhecimento e adesão dos funcionários às regras não escritas de conduta relacionadas à segurança.

  • Responsabilidades: Como os funcionários percebem seu papel como um fator crítico para ajudar ou prejudicar a segurança.

Agora você pode ver claramente que a cultura de segurança pode ser um conceito bastante profundo. Vai ao cerne do que seu pessoal pensa, o que eles valorizam, as ações que escolhem tomar, as ações que escolhem evitar, como interagem uns com os outros e muito mais. Em outras palavras, sua cultura de segurança é o coração pulsante de como seu pessoal se envolve com seu programa de segurança, seu ecossistema de TI, seus dados e todos os outros aspectos relacionados à segurança de sua organização.   

Como vimos nos últimos anos, a grande maioria das violações de dados pode ser rastreada até a engenharia social ou algum tipo de erro humano. Vamos encarar isso... precisamos fazer melhor. Nossas tecnologias não são adequadas para fornecer maneiras à prova de falhas para proteger dados. E a conscientização – por si só – não é suficiente para moldar crenças, valores, comportamentos e normas sociais. A melhor maneira de avançar é melhorar continuamente a tecnologia que temos, ao mesmo tempo em que nos comprometemos a focar intensamente e intencionalmente no fortalecimento de nossa camada humana.  

Artigos em Destaque

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

Training and Awareness