Qual é a importância da política de conscientização para a blindagem dos meus dados?
Entenda de uma vez por todas qual é a importância de uma política de conscientização em segurança e porque seus colaboradores são o elo mais vulnerável a ataques.
2017 definitivamente foi o ano dos ciberataques em que empresas e pessoas sofreram massivas perdas. Tendo em vista a grande importância dos fatos, a Symantec divulgou uma nova edição da sua pesquisa detalhada sobre o perfil de vítimas e as percepções delas com o tipo de crime, o 2017 Norton Cyber Security Insights Report..
A pesquisa envolve 20 países, onde cerca de 21 mil pessoas foram ouvidas. Estima-se que mais de 970 milhões de usuários foram afetados por crimes digitais, sendo que desse total, mais de 60 milhões de brasileiros. Ao todo, essas pessoas somaram um prejuízo em torno de US$ 170 bilhões, US$ 22,5 bilhões só no Brasil e também subtraíram em média 24 horas, ou até 3 dias de trabalho lidando com os problemas pós-ataque. É bastante provável que esta perda fosse significativamente menor se houve algum investimento em políticas de conscientização em segurança.
Mas porque isso é importante para a minha empresa?
O setor da segurança da Informação vem enfrentando um momento de mudanças constantes e significativas.
Graças ao avanço tecnológico e a forma como as pessoas interagem com essas informações, ferramentas e a introdução de tecnologias como o IoT, por exemplo o cenário torna-se fértil ao crescimento e êxito do cibercrime.
Com as oportunidades que a mudança tecnológica traz, os cibercriminosos puderam melhorar suas estratégias. Ataques a grandes entidades e empresas exigem preparo, tempo e maior disposição, pois, os sistemas de proteção e detecção são mais modernos e eficientes. Embora as possibilidades de lucro sejam maiores, os riscos também são. Por conta disso, uma das estratégias utilizadas é: em atacar empresas e organizações, elaborar ataques aos usuários.
Muitas empresas estão sendo invadidas por ataques muito mais simples. O que permite pensar em forma escalonar, assim terminando por ser muito eficiente.
Os cibercriminosos estão se utilizando de técnicas de engenharia social para persuadir suas vítimas e conseguirem acesso às redes e/ou informações. Ataques estes, que seriam facilmente evitados com uma política de conscientização e treinamento.
A conscientização em Segurança da Informação tem a capacidade de mudar o comportamento dos usuários e não apenas evitar ataques, mas também “reforçar” toda a política de segurança implantada em uma empresa.
Como implantar uma política de segurança em minha empresa?
Todas as recomendações de gestão de SI alertam para a necessidade de envolver diretamente os usuários às políticas. Assim como o Antispam, Antivírus e Firewall, a conscientização em Segurança é uma ferramenta indispensável em todo o processo de SI.
É importante informar aos usuários a importância dos dados e informações da empresa e qual é a colaboração na segurança desses ativos. Isso os tornam mais conscientes de todo processo redobrando o nível de atenção.
Em uma pesquisa elaborada pela consultoria Pricewaterhouse Coopers em 2014 mostrou que, dentre as empresas analisadas, as que não destinaram investimentos em política de conscientização em segurança da informação tiveram perdas médias anuais de US$683 mil em ciberataques. Por outro lado as empresas que investiram tiveram uma redução em mais de US$520 mil em relação às outras.
Fica claro, a partir das evidências apresentadas, a necessidade de se investir não apenas em uma Política de Segurança, mas é fundamental incluir a essas políticas o fator humano da SI.
É importante a definição de um objetivo, em seguida, é necessário o desenvolvimento da Política Segurança da informação.
Porém, apenas a criação de uma política de segurança não garante a proteção de uma empresa. Deve-se garantir que todos façam parte deste organismo e que os colaboradores cumpram as políticas estabelecidas. Para isso, é importante que haja recursos para a promoção de treinamentos, educação e procedimentos da organização a fim de garantir que os usuários aprendam boas práticas de comportamento com o uso da internet.