Como Construir uma Cultura de Segurança para Reduzir Riscos e Fortalecer a Sua Organização
No ano passado, 74% das violações envolveram fatores humanos, como usuários agindo de forma arriscada ou maliciosa. Sem dúvida, lidar com qualquer tipo de ameaça interna é um desafio — seja decorrente de erro humano ou de intenções mais sinistras. No entanto, ao promover uma forte cultura de segurança, é possível reduzir significativamente esses incidentes.
Criar uma cultura de segurança forte não é tarefa simples. Para começar, o conceito em si pode parecer vago. Isso ocorre, em parte, porque não existem métricas padronizadas para medi-lo. Algumas organizações avaliam a cultura com base em taxas de cliques em simulações de phishing ou índices de relatórios; outras consideram taxas de conclusão de treinamentos ou a rapidez na execução de tarefas.
Neste artigo, exploraremos o que realmente significa cultura de segurança, por que ela é essencial para sua organização e as principais etapas para construir uma cultura forte e sustentável.
O que é cultura de segurança?
A Proofpoint define cultura de segurança como o conjunto de crenças, valores e atitudes que moldam o comportamento dos funcionários no que diz respeito à proteção de suas organizações contra ataques cibernéticos.
Esse conceito foi delineado pela primeira vez pelos pesquisadores do MIT, Keman Huang e Keri Pearlson, em 2019. Notavelmente, a cultura de segurança de uma organização será fraca se seus funcionários não valorizarem as melhores práticas de segurança ou se enxergarem a segurança cibernética como um obstáculo à produtividade.
Como medir a cultura de segurança?
Nosso objetivo é tornar o conceito de cultura de segurança mais concreto. Por isso, dividimos a cultura em três aspectos críticos:
Responsabilidade: Os funcionários sentem que devem assumir um papel proativo na prevenção de incidentes de segurança.
Importância: Eles reconhecem que as ameaças cibernéticas representam um risco real para o sucesso da organização — e que também podem afetá-los pessoalmente.
Empoderamento: Os funcionários se sentem preparados para agir, pois possuem conhecimento prático sobre segurança cibernética e políticas da organização. Além disso, confiam que, caso cometam um erro, a organização estará pronta para resolver o problema rapidamente.
Uma organização pode avaliar sua cultura de segurança conduzindo uma pesquisa específica, o que ajuda a estimar a probabilidade de que os funcionários tomem decisões conscientes e ajam corretamente em situações de risco.
O objetivo final é promover mudanças positivas de comportamento. Os funcionários devem se sentir encorajados a adotar as melhores práticas de segurança e a contribuir para a proteção da organização.
Por que a cultura de segurança é importante?
De acordo com o relatório State of the Phish da Proofpoint 2024, 96% dos adultos trabalhadores que tomaram ações arriscadas sabiam que estavam se expondo a riscos. Este dado contradiz a crença de que comportamentos arriscados são resultado de falta de conhecimento. Ele também reforça que treinamento isolado não é suficiente — construir uma cultura de segurança forte é essencial.
A cultura de segurança influencia como as pessoas percebem, aderem e seguem práticas e políticas de segurança. Ela molda decisões cotidianas, como o tratamento de dados sensíveis ou a resposta a possíveis e-mails de phishing. No final, essas decisões impactam diretamente a postura geral de segurança da organização.
Uma cultura de segurança robusta mitiga riscos humanos ao fornecer as ferramentas e o conhecimento necessários para que os funcionários reconheçam comportamentos arriscados e os evitem. Além disso, ela os motiva a seguir as melhores práticas, compreendendo o valor da segurança, os riscos envolvidos e as consequências de não se conformar às políticas.
Também é fundamental promover a responsabilização. O relatório State of the Phish 2024 aponta que 60% dos entrevistados não tinham certeza ou não acreditavam ser responsáveis por ajudar a proteger suas organizações. Quando as pessoas entendem o impacto de suas ações, é mais provável que assumam essa responsabilidade — um fator crucial para fortalecer a segurança.
Elementos de uma cultura de segurança forte
Aqui estão os principais elementos de uma cultura de segurança sólida:
Liderança comprometida: Executivos reconhecem a importância da segurança e a integram às decisões estratégicas, estabelecendo o tom para toda a organização.
Funcionários engajados e conscientes: Eles não apenas conhecem os riscos, mas participam ativamente de iniciativas de conscientização, demonstrando interesse em aprender e aplicar as melhores práticas.
Responsabilidade clara: Todos entendem que têm um papel fundamental na proteção da organização, não delegando essa responsabilidade a terceiros.
Confiança e abertura: Os funcionários se sentem à vontade para relatar problemas de segurança e admitir erros, confiando na equipe de segurança como um recurso de apoio, e não como punitiva.
Como promover uma cultura de segurança?
Estes são três princípios fundamentais:
Compreenda sua organização: Identifique os principais riscos e microculturas internas. Obtenha feedback sobre fatores como o nível de confiança dos funcionários na equipe de segurança.
Construa relacionamentos: Colabore com líderes e influenciadores de áreas como RH, jurídico, conformidade e comunicação. Busque o apoio da liderança para assegurar recursos e adesão.
Engaje os funcionários como stakeholders: Comunique regularmente o valor da segurança e crie canais para coletar feedback. Ofereça um ambiente seguro para aprendizado e crescimento, destacando o impacto pessoal das boas práticas de segurança.
Superando desafios comuns
Criar uma cultura de segurança não é fácil. Algumas dicas para lidar com os desafios incluem:
Aumente a conscientização interna: Trate seu programa como uma campanha de marketing, adaptando as mensagens aos diferentes públicos e funções.
Combine dados com narrativas: Use dados quantitativos e histórias reais para construir um caso convincente ao solicitar investimentos em segurança.
Incentive a comunicação bidirecional: Encoraje os funcionários a compartilhar opiniões e preocupações, promovendo um senso de inclusão e engajamento.
Conclusão
Uma forte cultura de segurança é essencial para proteger uma organização contra ataques cibernéticos. Ela é moldada pelas atitudes e ações das pessoas e, por sua vez, impacta diretamente como os funcionários percebem e seguem práticas de segurança.
Para construir essa cultura, é necessário entender a organização, fortalecer os relacionamentos entre departamentos e empoderar os funcionários como stakeholders. Trata-se de um esforço contínuo que, ao ser conduzido da maneira certa, ganha força e transforma a segurança em um valor essencial para todos.