Vazamento de dados e motivação dos funcionários

Um roteiro de segurança da informação para se concentrar na motivação da equipe e na redução do impacto em casos de ciberincidentes

Que consequências os vazamentos de dados têm para os funcionários? Para responder a essa pergunta, começamos a explorar as causas da maioria desses incidentes, que, a partir da minha experiência, estão frequentemente enraizados na negligência, na irresponsabilidade dos funcionários ou no gerenciamento ineficaz. Em outras palavras, não importa como você compreenda, o fator humano está no cerne do problema.

Quando os funcionários não assumem suas responsabilidades

Tente perguntar aos funcionários quais mudanças no fluxo de trabalho os ajudariam a melhorar sua produtividade e nível de satisfação no trabalho. As pessoas geralmente querem trabalhar da maneira que se sentem mais confortáveis, sem interferências. Por exemplo, o acesso de privilégios de administrador em seus computadores, ter o direito de instalar qualquer software, de conceder acesso aos dados e sistemas de sua equipe, a seu critério. Eles querem chamar convidados para o escritório, entre outras coisas.

Ao mesmo tempo, quase ninguém está realmente preparado para assumir a responsabilidade pelo que deseja ou acha conveniente. Muitos funcionários (e às vezes seus gerentes) são complacentes e acreditam que estão de alguma forma protegidos, que, não importa o que façam, os anjos da guarda estão à disposição para salvar o dia. Obviamente, nós especialistas em cibersegurança sempre fazemos o possível para proteger os usuários, mas não somos onipotentes.

Decisões gerenciais ruins

A segunda causa dos incidentes mais graves é, de uma maneira geral, o gerenciamento ineficaz de processos de negócios, que também abrange as ações ou omissões do pessoal de segurança da informação e de TI. Uma empresa que leva a sério a cibersegurança não sofre grandes danos porque um funcionário inseriu uma unidade USB com um arquivo infectado ou abriu um e-mail com um anexo malicioso ou URL incorreta. Em todos os casos, uma cadeia de erros deve ocorrer na combinação certa:

  • O processo de negócios foi organizado de forma a permitir esse tipo de erro;
  • Alguém errou ou violou as políticas de segurança da informação;
  • Os sistemas de informação ou serviços de infraestrutura continham vulnerabilidades não detectadas ou sem correções;
  • Os sistemas eram muito complexos, causando falta de recursos necessários para garantir uma configuração segura, gerenciamento oportuno de atualizações e implementação de medidas de segurança.
  • O departamento de segurança não conseguiu (por falta de competências ou oportunidades) identificar o incidente antes que o evento causasse danos.

Cada um desses fatores é uma consequência de uma decisão. No entanto, a causa geral do incidente é uma combinação dos fatores. Como o incidente afeta a motivação dos funcionários depende em grande parte da resposta da gerência – e às vezes, as medidas que uma empresa adota para impedir a recorrência de tais incidentes podem causar muito mais danos do que o próprio incidente.

O exemplo a seguir é real. Um banco passou repetidamente por incidentes resultantes de ataques externos e erros de funcionários. Como resultado, os sistemas do banco foram desativados por algum tempo. A gerência, tentando motivar a equipe responsável e punir os culpados, passou por várias rodadas de demissão de sua equipe de TI e de segurança da informação. Ao mesmo tempo, apesar de saber que o sistema bancário automatizado tinha vulnerabilidades arquiteturais, o gerenciamento não alocou orçamento para criar um novo sistema ou para corrigir as falhas. Funcionários experientes perceberam que qualquer um poderia cometer erros, a qualquer momento, e a empresa optou por contratar novas pessoas, em vez de corrigir os problemas existentes, para que logo encontrassem empregos em outros lugares. Os novos funcionários tinham um entendimento ruim do sistema da empresa, que havia sido desenvolvido internamente e, como resultado, cometeram ainda mais erros e gastaram mais tempo na manutenção dos sistemas porque não possuíam conhecimentos essenciais. Consequentemente, os clientes deixaram o banco e ele caiu de sua posição no top 50 para o 200º lugar.

O que fazer?

Em minha opinião, é importante não desmotivar seus funcionários. Em vez disso, possibilite que entendam suas responsabilidades, os valores da empresa e a importância das contribuições de seus colegas de trabalho. Você pode demonstrar tudo isso por meio de suporte material, respeito mútuo e regras claras.

As regras corporativas de segurança da informação precisam explicar de maneira simples e específica o que é e o que não é permitido e o que a equipe precisa fazer no caso de um ciberincidente – inclusive em termos de privacidade e confidencialidade. O líder da equipe deve comunicar claramente as informações aos subordinados e, durante e depois de um incidente, explicar o problema e suas consequências (que podem incluir penalidades). Isso ajuda a manter um ambiente de equipe saudável e pode ajudar a repetição dos mesmos erros.

Você pode usar este roteiro de segurança da informação para se concentrar na motivação da equipe e na redução do impacto em casos de ciberincidentes:

  • Realize treinamentos de equipe não apenas para evitar erros, mas também para ensinar às pessoas o que pode ser um erro;
  • Motive os funcionários;
  • Criar regras claras de segurança da informação na empresa – e medidas para monitorá-las em ação;
  • Use ferramentas de detecção e resposta à incidentes;
  • Implemente sistemas para proteção contra erros, comportamentos insensatos ou desleixados e ações maliciosas de membros internos.
  • Revise periodicamente as medidas acima para reduzir a probabilidade de alguém cometer o mesmo erro duas vezes.

Para mais informações sobre o lado humano dos incidentes de cibersegurança, confira nosso último relatório intitulado – disponível em inglês –  “Cuidando da segurança corporativa e da privacidade dos funcionários“.

Dicas