top of page

Blog

Como Construir uma Forte Cultura de Segurança

Foto do escritor: NetconnNetconn

Como Construir uma Cultura de Segurança para Reduzir Riscos e Fortalecer a Sua Organização

cultura de segurança

No ano passado, 74% das violações envolveram fatores humanos, como usuários agindo de forma arriscada ou maliciosa. Sem dúvida, lidar com qualquer tipo de ameaça interna é um desafio — seja decorrente de erro humano ou de intenções mais sinistras. No entanto, ao promover uma forte cultura de segurança, é possível reduzir significativamente esses incidentes.


Criar uma cultura de segurança forte não é tarefa simples. Para começar, o conceito em si pode parecer vago. Isso ocorre, em parte, porque não existem métricas padronizadas para medi-lo. Algumas organizações avaliam a cultura com base em taxas de cliques em simulações de phishing ou índices de relatórios; outras consideram taxas de conclusão de treinamentos ou a rapidez na execução de tarefas.


Neste artigo, exploraremos o que realmente significa cultura de segurança, por que ela é essencial para sua organização e as principais etapas para construir uma cultura forte e sustentável.


O que é cultura de segurança?

A Proofpoint define cultura de segurança como o conjunto de crenças, valores e atitudes que moldam o comportamento dos funcionários no que diz respeito à proteção de suas organizações contra ataques cibernéticos.


Esse conceito foi delineado pela primeira vez pelos pesquisadores do MIT, Keman Huang e Keri Pearlson, em 2019. Notavelmente, a cultura de segurança de uma organização será fraca se seus funcionários não valorizarem as melhores práticas de segurança ou se enxergarem a segurança cibernética como um obstáculo à produtividade.


Como medir a cultura de segurança?

Nosso objetivo é tornar o conceito de cultura de segurança mais concreto. Por isso, dividimos a cultura em três aspectos críticos:


  1. Responsabilidade: Os funcionários sentem que devem assumir um papel proativo na prevenção de incidentes de segurança.


  2. Importância: Eles reconhecem que as ameaças cibernéticas representam um risco real para o sucesso da organização — e que também podem afetá-los pessoalmente.


  3. Empoderamento: Os funcionários se sentem preparados para agir, pois possuem conhecimento prático sobre segurança cibernética e políticas da organização. Além disso, confiam que, caso cometam um erro, a organização estará pronta para resolver o problema rapidamente.


Uma organização pode avaliar sua cultura de segurança conduzindo uma pesquisa específica, o que ajuda a estimar a probabilidade de que os funcionários tomem decisões conscientes e ajam corretamente em situações de risco.


O objetivo final é promover mudanças positivas de comportamento. Os funcionários devem se sentir encorajados a adotar as melhores práticas de segurança e a contribuir para a proteção da organização.


Por que a cultura de segurança é importante?

De acordo com o relatório State of the Phish da Proofpoint 2024, 96% dos adultos trabalhadores que tomaram ações arriscadas sabiam que estavam se expondo a riscos. Este dado contradiz a crença de que comportamentos arriscados são resultado de falta de conhecimento. Ele também reforça que treinamento isolado não é suficiente — construir uma cultura de segurança forte é essencial.


A cultura de segurança influencia como as pessoas percebem, aderem e seguem práticas e políticas de segurança. Ela molda decisões cotidianas, como o tratamento de dados sensíveis ou a resposta a possíveis e-mails de phishing. No final, essas decisões impactam diretamente a postura geral de segurança da organização.


Uma cultura de segurança robusta mitiga riscos humanos ao fornecer as ferramentas e o conhecimento necessários para que os funcionários reconheçam comportamentos arriscados e os evitem. Além disso, ela os motiva a seguir as melhores práticas, compreendendo o valor da segurança, os riscos envolvidos e as consequências de não se conformar às políticas.


Também é fundamental promover a responsabilização. O relatório State of the Phish 2024 aponta que 60% dos entrevistados não tinham certeza ou não acreditavam ser responsáveis por ajudar a proteger suas organizações. Quando as pessoas entendem o impacto de suas ações, é mais provável que assumam essa responsabilidade — um fator crucial para fortalecer a segurança.


Elementos de uma cultura de segurança forte

Aqui estão os principais elementos de uma cultura de segurança sólida:


  • Liderança comprometida: Executivos reconhecem a importância da segurança e a integram às decisões estratégicas, estabelecendo o tom para toda a organização.


  • Funcionários engajados e conscientes: Eles não apenas conhecem os riscos, mas participam ativamente de iniciativas de conscientização, demonstrando interesse em aprender e aplicar as melhores práticas.


  • Responsabilidade clara: Todos entendem que têm um papel fundamental na proteção da organização, não delegando essa responsabilidade a terceiros.


  • Confiança e abertura: Os funcionários se sentem à vontade para relatar problemas de segurança e admitir erros, confiando na equipe de segurança como um recurso de apoio, e não como punitiva.


Como promover uma cultura de segurança?

Estes são três princípios fundamentais:


  1. Compreenda sua organização: Identifique os principais riscos e microculturas internas. Obtenha feedback sobre fatores como o nível de confiança dos funcionários na equipe de segurança.


  2. Construa relacionamentos: Colabore com líderes e influenciadores de áreas como RH, jurídico, conformidade e comunicação. Busque o apoio da liderança para assegurar recursos e adesão.


  3. Engaje os funcionários como stakeholders: Comunique regularmente o valor da segurança e crie canais para coletar feedback. Ofereça um ambiente seguro para aprendizado e crescimento, destacando o impacto pessoal das boas práticas de segurança.


Superando desafios comuns

Criar uma cultura de segurança não é fácil. Algumas dicas para lidar com os desafios incluem:


  • Aumente a conscientização interna: Trate seu programa como uma campanha de marketing, adaptando as mensagens aos diferentes públicos e funções.


  • Combine dados com narrativas: Use dados quantitativos e histórias reais para construir um caso convincente ao solicitar investimentos em segurança.


  • Incentive a comunicação bidirecional: Encoraje os funcionários a compartilhar opiniões e preocupações, promovendo um senso de inclusão e engajamento.


Conclusão

Uma forte cultura de segurança é essencial para proteger uma organização contra ataques cibernéticos. Ela é moldada pelas atitudes e ações das pessoas e, por sua vez, impacta diretamente como os funcionários percebem e seguem práticas de segurança.


Para construir essa cultura, é necessário entender a organização, fortalecer os relacionamentos entre departamentos e empoderar os funcionários como stakeholders. Trata-se de um esforço contínuo que, ao ser conduzido da maneira certa, ganha força e transforma a segurança em um valor essencial para todos.

11 visualizações

Serviços & Soluções

Mercado de Tecnologia

Fale Conosco

Outros Contatos:

Icone de e-mail
Icone de Whatsapp

+55 11 99435-8164

Icone de telefone

+55 (11) 3023-1500

Icone de mapa

R. Cunha Gago, 700 Pinheiros,
São Paulo - SP

RH & Curriculum

Group 485.png

Suporte

Icone de e-mail
bottom of page