Que consequ\u00eancias os vazamentos de dados t\u00eam para os funcion\u00e1rios? Para responder a essa pergunta, come\u00e7amos a explorar as causas da maioria desses incidentes, que, a partir da minha experi\u00eancia, est\u00e3o frequentemente enraizados na neglig\u00eancia, na irresponsabilidade dos funcion\u00e1rios ou no gerenciamento ineficaz. Em outras palavras, n\u00e3o importa como voc\u00ea compreenda, o fator humano est\u00e1 no cerne do problema.<\/p>\n
Tente perguntar aos funcion\u00e1rios quais mudan\u00e7as no fluxo de trabalho os ajudariam a melhorar sua produtividade e n\u00edvel de satisfa\u00e7\u00e3o no trabalho. As pessoas geralmente querem trabalhar da maneira que se sentem mais confort\u00e1veis, sem interfer\u00eancias. Por exemplo, o acesso de privil\u00e9gios de administrador em seus computadores, ter o direito de instalar qualquer software, de conceder acesso aos dados e sistemas de sua equipe, a seu crit\u00e9rio. Eles querem chamar convidados para o escrit\u00f3rio, entre outras coisas.<\/p>\n
Ao mesmo tempo, quase ningu\u00e9m est\u00e1 realmente preparado para assumir a responsabilidade pelo que deseja ou acha conveniente. Muitos funcion\u00e1rios (e \u00e0s vezes seus gerentes) s\u00e3o complacentes e acreditam que est\u00e3o de alguma forma protegidos, que, n\u00e3o importa o que fa\u00e7am, os anjos da guarda est\u00e3o \u00e0 disposi\u00e7\u00e3o para salvar o dia. Obviamente, n\u00f3s especialistas em ciberseguran\u00e7a sempre fazemos o poss\u00edvel para proteger os usu\u00e1rios, mas n\u00e3o somos onipotentes.<\/p>\n
A segunda causa dos incidentes mais graves \u00e9, de uma maneira geral, o gerenciamento ineficaz de processos de neg\u00f3cios, que tamb\u00e9m abrange as a\u00e7\u00f5es ou omiss\u00f5es do pessoal de seguran\u00e7a da informa\u00e7\u00e3o e de TI. Uma empresa que leva a s\u00e9rio a ciberseguran\u00e7a n\u00e3o sofre grandes danos porque um funcion\u00e1rio inseriu uma unidade USB com um arquivo infectado ou abriu um e-mail com um anexo malicioso ou URL incorreta. Em todos os casos, uma cadeia de erros deve ocorrer na combina\u00e7\u00e3o certa:<\/p>\n
Cada um desses fatores \u00e9 uma consequ\u00eancia de uma decis\u00e3o. No entanto, a causa geral do incidente \u00e9 uma combina\u00e7\u00e3o dos fatores. Como o incidente afeta a motiva\u00e7\u00e3o dos funcion\u00e1rios depende em grande parte da resposta da ger\u00eancia \u2013 e \u00e0s vezes, as medidas que uma empresa adota para impedir a recorr\u00eancia de tais incidentes podem causar muito mais danos do que o pr\u00f3prio incidente.<\/p>\n
O exemplo a seguir \u00e9 real. Um banco passou repetidamente por incidentes resultantes de ataques externos e erros de funcion\u00e1rios. Como resultado, os sistemas do banco foram desativados por algum tempo. A ger\u00eancia, tentando motivar a equipe respons\u00e1vel e punir os culpados, passou por v\u00e1rias rodadas de demiss\u00e3o de sua equipe de TI e de seguran\u00e7a da informa\u00e7\u00e3o. Ao mesmo tempo, apesar de saber que o sistema banc\u00e1rio automatizado tinha vulnerabilidades arquiteturais, o gerenciamento n\u00e3o alocou or\u00e7amento para criar um novo sistema ou para corrigir as falhas. Funcion\u00e1rios experientes perceberam que qualquer um poderia cometer erros, a qualquer momento, e a empresa optou por contratar novas pessoas, em vez de corrigir os problemas existentes, para que logo encontrassem empregos em outros lugares. Os novos funcion\u00e1rios tinham um entendimento ruim do sistema da empresa, que havia sido desenvolvido internamente e, como resultado, cometeram ainda mais erros e gastaram mais tempo na manuten\u00e7\u00e3o dos sistemas porque n\u00e3o possu\u00edam conhecimentos essenciais. Consequentemente, os clientes deixaram o banco e ele caiu de sua posi\u00e7\u00e3o no top 50 para o 200\u00ba lugar.<\/p>\n
Em minha opini\u00e3o, \u00e9 importante n\u00e3o desmotivar seus funcion\u00e1rios. Em vez disso, possibilite que entendam suas responsabilidades, os valores da empresa e a import\u00e2ncia das contribui\u00e7\u00f5es de seus colegas de trabalho. Voc\u00ea pode demonstrar tudo isso por meio de suporte material, respeito m\u00fatuo e regras claras.<\/p>\n
As regras corporativas de seguran\u00e7a da informa\u00e7\u00e3o precisam explicar de maneira simples e espec\u00edfica o que \u00e9 e o que n\u00e3o \u00e9 permitido e o que a equipe precisa fazer no caso de um ciberincidente \u2013 inclusive em termos de privacidade e confidencialidade. O l\u00edder da equipe deve comunicar claramente as informa\u00e7\u00f5es aos subordinados e, durante e depois de um incidente, explicar o problema e suas consequ\u00eancias (que podem incluir penalidades). Isso ajuda a manter um ambiente de equipe saud\u00e1vel e pode ajudar a repeti\u00e7\u00e3o dos mesmos erros.<\/p>\n
Voc\u00ea pode usar este roteiro de seguran\u00e7a da informa\u00e7\u00e3o para se concentrar na motiva\u00e7\u00e3o da equipe e na redu\u00e7\u00e3o do impacto em casos de ciberincidentes:<\/p>\n