Business

Vazamento de dados e motivação dos funcionários

Um roteiro de segurança da informação para se concentrar na motivação da equipe e na redução do impacto em casos de ciberincidentes

Andrey Evdokimov
29 abr 2020

Que consequências os vazamentos de dados têm para os funcionários? Para responder a essa pergunta, começamos a explorar as causas da maioria desses incidentes, que, a partir da minha experiência, estão frequentemente enraizados na negligência, na irresponsabilidade dos funcionários ou no gerenciamento ineficaz. Em outras palavras, não importa como você compreenda, o fator humano está no cerne do problema.

Quando os funcionários não assumem suas responsabilidades

Tente perguntar aos funcionários quais mudanças no fluxo de trabalho os ajudariam a melhorar sua produtividade e nível de satisfação no trabalho. As pessoas geralmente querem trabalhar da maneira que se sentem mais confortáveis, sem interferências. Por exemplo, o acesso de privilégios de administrador em seus computadores, ter o direito de instalar qualquer software, de conceder acesso aos dados e sistemas de sua equipe, a seu critério. Eles querem chamar convidados para o escritório, entre outras coisas.

Ao mesmo tempo, quase ninguém está realmente preparado para assumir a responsabilidade pelo que deseja ou acha conveniente. Muitos funcionários (e às vezes seus gerentes) são complacentes e acreditam que estão de alguma forma protegidos, que, não importa o que façam, os anjos da guarda estão à disposição para salvar o dia. Obviamente, nós especialistas em cibersegurança sempre fazemos o possível para proteger os usuários, mas não somos onipotentes.

Decisões gerenciais ruins

A segunda causa dos incidentes mais graves é, de uma maneira geral, o gerenciamento ineficaz de processos de negócios, que também abrange as ações ou omissões do pessoal de segurança da informação e de TI. Uma empresa que leva a sério a cibersegurança não sofre grandes danos porque um funcionário inseriu uma unidade USB com um arquivo infectado ou abriu um e-mail com um anexo malicioso ou URL incorreta. Em todos os casos, uma cadeia de erros deve ocorrer na combinação certa:

O processo de negócios foi organizado de forma a permitir esse tipo de erro;
Alguém errou ou violou as políticas de segurança da informação;
Os sistemas de informação ou serviços de infraestrutura continham vulnerabilidades não detectadas ou sem correções;
Os sistemas eram muito complexos, causando falta de recursos necessários para garantir uma configuração segura, gerenciamento oportuno de atualizações e implementação de medidas de segurança.
O departamento de segurança não conseguiu (por falta de competências ou oportunidades) identificar o incidente antes que o evento causasse danos.

Cada um desses fatores é uma consequência de uma decisão. No entanto, a causa geral do incidente é uma combinação dos fatores. Como o incidente afeta a motivação dos funcionários depende em grande parte da resposta da gerência – e às vezes, as medidas que uma empresa adota para impedir a recorrência de tais incidentes podem causar muito mais danos do que o próprio incidente.

O exemplo a seguir é real. Um banco passou repetidamente por incidentes resultantes de ataques externos e erros de funcionários. Como resultado, os sistemas do banco foram desativados por algum tempo. A gerência, tentando motivar a equipe responsável e punir os culpados, passou por várias rodadas de demissão de sua equipe de TI e de segurança da informação. Ao mesmo tempo, apesar de saber que o sistema bancário automatizado tinha vulnerabilidades arquiteturais, o gerenciamento não alocou orçamento para criar um novo sistema ou para corrigir as falhas. Funcionários experientes perceberam que qualquer um poderia cometer erros, a qualquer momento, e a empresa optou por contratar novas pessoas, em vez de corrigir os problemas existentes, para que logo encontrassem empregos em outros lugares. Os novos funcionários tinham um entendimento ruim do sistema da empresa, que havia sido desenvolvido internamente e, como resultado, cometeram ainda mais erros e gastaram mais tempo na manutenção dos sistemas porque não possuíam conhecimentos essenciais. Consequentemente, os clientes deixaram o banco e ele caiu de sua posição no top 50 para o 200º lugar.

O que fazer?

Em minha opinião, é importante não desmotivar seus funcionários. Em vez disso, possibilite que entendam suas responsabilidades, os valores da empresa e a importância das contribuições de seus colegas de trabalho. Você pode demonstrar tudo isso por meio de suporte material, respeito mútuo e regras claras.

As regras corporativas de segurança da informação precisam explicar de maneira simples e específica o que é e o que não é permitido e o que a equipe precisa fazer no caso de um ciberincidente – inclusive em termos de privacidade e confidencialidade. O líder da equipe deve comunicar claramente as informações aos subordinados e, durante e depois de um incidente, explicar o problema e suas consequências (que podem incluir penalidades). Isso ajuda a manter um ambiente de equipe saudável e pode ajudar a repetição dos mesmos erros.

Você pode usar este roteiro de segurança da informação para se concentrar na motivação da equipe e na redução do impacto em casos de ciberincidentes:

Realize treinamentos de equipe não apenas para evitar erros, mas também para ensinar às pessoas o que pode ser um erro;
Motive os funcionários;
Criar regras claras de segurança da informação na empresa – e medidas para monitorá-las em ação;
Use ferramentas de detecção e resposta à incidentes;
Implemente sistemas para proteção contra erros, comportamentos insensatos ou desleixados e ações maliciosas de membros internos.
Revise periodicamente as medidas acima para reduzir a probabilidade de alguém cometer o mesmo erro duas vezes.

Para mais informações sobre o lado humano dos incidentes de cibersegurança, confira nosso último relatório intitulado – disponível em inglês – “Cuidando da segurança corporativa e da privacidade dos funcionários“.

5 maneiras de melhorar seu WiFi

Seu Wi-Fi está instável? Aqui estão algumas dicas fáceis para superar o problema.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Vazamento de dados e motivação dos funcionários

Quando os funcionários não assumem suas responsabilidades

Decisões gerenciais ruins

O que fazer?

Cinco lições importantes de cibersegurança para CEO

Cibercrime usa ferramentas legítimas para ciberataques

5 maneiras de melhorar seu WiFi

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog