Construir uma nova cultura requer tempo e comprometimento de todos na organização. É uma estratégia que une a organização com objetivos compartilhados e expectativas claras que formarão a base da sua cibercultura. Quando os funcionários veem a segurança como uma prioridade e não como um bloqueador, você pode começar a mudar sua cibercultura.
Crie um documento de políticas de segurança
O manual do funcionário deve explicar as medidas de segurança a serem adotadas. Sua lista de verificação deve incluir:
- Com quem e como os funcionários podem compartilhar dados interna e externamente
- Como denunciar atividades suspeitas
- Requisitos de força de senha e políticas de senha adicionais, incluindo armazenamento
- Como proteger dispositivos corporativos e pessoais, especialmente para trabalho remoto ou em um ambiente BYOD
- Software ou versões de segurança necessárias, ou recomendadas
- Armazenamento de dados seguros e backup
- Agenda de treinamento de segurança e expectativas
Torne o manual acessível, mantenha-o atualizado e difunda amplamente os requisitos de segurança documentados nele.
Obtenha a adesão da liderança
Uma mudança de cultura começa no topo. A diretoria e outros líderes devem defender a importância da cibersegurança através do que dizem e fazem.
O que a liderança pode fazer para dar o exemplo certo?
- A liderança precisa usar abertamente as ferramentas e processos recomendados pelo TI e priorizar o treinamento de segurança nas agendas dos funcionários;
- Criar um canal de comunicação aberto entre a liderança, o TI e a equipe de segurança. Incentive o TI e a segurança a fazer perguntas, examinar novas tecnologias e pensar nos riscos de curto e longo prazo;
- Pedir ao seu CEO que escreva uma carta aberta aos seus funcionários em relação à cultura de cibersegurança para definir o tom para o resto da empresa.
Quando os líderes estabelecem parcerias ativas com o TI no lugar de delegarem tarefas específicas, eles podem fazer a transição de um ambiente com postura de cibersegurança reativa para uma postura proativa.
Invista em tecnologia
As organizações devem educar e treinar seus funcionários com ferramentas para que eles possam verdadeiramente mudar seu comportamento e por último, a cultura. Procure ferramentas de cibersegurança que ajudem a remover o atrito nos processos dos funcionários e eliminar comportamentos de risco. É fundamental que a tecnologia de cibersegurança inclua:
Gerenciamento de senhas
Elimine o cansaço e a reutilização de senhas para os usuários. Um gerenciador de senhas fornece um repositório ou cofre seguro e criptografado onde os funcionários podem armazenar credenciais e outros dados confidenciais. Os gerenciadores de senhas cuidam de todos os aspectos de gerenciamento de credenciais: armazenamento, criação, recuperação, preenchimento e compartilhamento de senhas.
Proteja seu negócio obrigando o uso e definindo políticas. Quando implantado em toda a organização, eles identificam os pontos fracos, impõem políticas de segurança de senha e melhoram a segurança geral de uma organização por meio de uma senha mais forte e à prova de ataques.
Autenticação única
Simplifique o acesso do funcionário. Consolidar o acesso com um login corporativo pode agilizar a experiência do usuário. Com a autenticação única (SSO), um portal central desbloqueia o acesso a muitos aplicativos e sistemas corporativos sem solicitar reautenticação ou senhas separadas.
A autenticação única ajuda a eliminar riscos relacionados a senhas, ao mesmo tempo que aumenta a visibilidade e a segurança da TI e o controle sobre o acesso dos funcionários.
Lembre-se: A autenticação única não cobre todos os sites ou aplicativos baseados em credenciais, então deve ser aumentada com um gerenciador de senhas para garantir que seu negócio permaneça seguro.
Provedor de identidade
Faça o máximo com seu provedor de identidade. Você pode ter um provedor de identidade que use o diretório da sua empresa para integrar, desconectar, e gerenciar usuários.
Não hesite em integrar o seu provedor de identidade com outras soluções de segurança para proteger ainda mais o seu negócio, simplificando a experiência dos seus funcionários.
Por exemplo, a integração com um gerenciador de senhas permitiria que seus funcionários recebessem uma conta no momento da contratação (ou remoção) e usassem as credenciais do seu provedor de identidade para acessar todas as outras contas com credenciais por meio de login federado.
Login sem senha
Remova o atrito do acesso. “Sem senha” significa coisas diferentes em contextos diferentes, mas fundamentalmente, as organizações podem eliminar os riscos de segurança baseados em credenciais e confiar em métodos de autorização e autenticação mais seguros.
As tecnologias sem senha podem conectar os funcionários instantaneamente e, ao mesmo tempo, melhorar a segurança no back-end com técnicas como criptografia de chave pública e MFA em dispositivos confiáveis. Ao agilizar o processo de login, os funcionários acessam o que precisam adotando uma segurança mais robusta de modo geral.
Priorize educação e treinamento
Consistência e repetição são essenciais para organizações que querem construir e manter uma cultura de cibersegurança.
- A agenda de treinamento precisa revisitar regularmente os conceitos críticos e exigir testar o conhecimento dos funcionários.
- Garanta que o treinamento de segurança dos funcionários evolua conforme o cenário de ameaças cibernéticas evolui, o que exige que as equipes de TI e segurança sejam informadas sobre ameaças emergentes.
- Invista em treinamento e educação para as equipes de TI e segurança por meio de conferências, acesso a publicações do setor e horas de trabalho dedicadas a pesquisa e orientação.
Não é suficiente treinar seus funcionários uma vez e seguir em frente.
Use defensores internos e recompense os resultados
Identifique os funcionários que incorporam a cultura que você deseja desenvolver. Então, dê orientação para que eles sejam defensores da cibersegurança, e dê apoio para que eles a tragam nas operações diárias da sua equipe.
O treinamento de cibersegurança não precisa ser chato. Busque maneiras de gamificar isso e tornar a experiência mais divertida. Muitas opções de treinamento de segurança oferecem experiências imersivas e interativas, que simulam incidentes cibernéticos e estimulam a competitividade do funcionário. E, algumas tecnologias rastreiam o comportamento do usuário, criando tabelas de classificação para que você as identifique facilmente e recompense os líderes. Providencie benefícios ou recompensas para quem completar o treinamento e alcançar altas pontuações. Permita que os funcionários sintam que eles fazem parte do quadro geral.
Desenvolva uma estratégia de longo prazo
A abordagem da sua organização à cibersegurança evoluirá à medida que o cenário de segurança muda. Defina expectativas com a liderança de que sua estratégia de segurança precisará ser revisitada frequentemente (no mínimo anualmente). Certifique-se de que os funcionários esperam treinamentos regulares e atualizações no setor.
Reúna uma equipe dedicada
Uma equipe dedicada deve gerenciar a violação de dados e o plano de resposta a incidentes de cibersegurança da sua organização. Seu plano de resposta deve ser claramente afirmado e amplamente distribuído em toda a organização, com instruções diretas sobre quem preenche quais tarefas à medida que a empresa percorre pela identificação, contenção, erradicação e recuperação.
Garanta a continuidade do seu negócio
Observe quais atividades empresariais são essenciais. Questões a serem consideradas:
- Como um ataque cibernético pode perturbar as tecnologias que eles dependem?
- Como você pode minimizar os ataques e ajudar a organização a recuperar sua funcionalidade mais rápido?
- Quem conduzirá a organização em meio a vários cenários de crise?
- Onde as informações vitais são armazenadas caso as responsabilidades de tomada de decisão precisem mudar inesperadamente devido à morte, doença ou outras emergências?
Mantenha o apoio contínuo
Adapte-se às necessidades organizacionais e esteja atento às etapas que produzem os melhores resultados. Por exemplo, para melhorar sua estratégia de cibersegurança:
- Faça uma pesquisa com os funcionários sobre seus comentários e pontos fracos.
- Solicite comentários sobre tópicos como quais políticas são gerenciáveis versus quais políticas são administráveis, como a TI pode melhorar o treinamento e o teste de segurança e o que motiva os funcionários a seguir as melhores práticas.
- Incorpore suas descobertas nas iterações contínuas do seu plano.
Não existe “pronto” na cibersegurança. Quanto mais você ajustar sua estratégia, melhor você protegerá a organização enquanto atende às expectativas dos funcionários.
O que você pode fazer agora
Avalie sua cibercultura atual
- Defina o que constitui uma cibercultura de sucesso para sua organização (sucesso é diferente para cada um).
- Avalie sua cibercultura atual falando com membros da equipe de TI e de segurança, líderes e funcionários da linha de frente.
- Como eles caracterizam a cibercultura atual da sua organização?
- O que os funcionários acreditam ser esperado deles e o que eles esperam da empresa?
- Os funcionários se veem integralmente na cibersegurança da sua empresa?
Obtenha uma visão completa da sua cibercultura e do seu papel na cultura geral da empresa.
Construa sua equipe
Alguém precisa gerenciar os esforços para mudar sua cibercultura. Reúna um grupo de vários departamentos e níveis de experiência:
- Membros de equipes de TI e de segurança cuidam das implementações técnicas.
- Funcionários de outras áreas (RH, Marketing, Vendas) poderão auxiliar com treinamentos, comunicação, defesa de direitos, pesquisa e manutenção contínua.
Ter olhos e ouvidos em toda a organização ajudará a identificar o que funciona e o que não funciona, para que você possa dinamizar e construir uma cibercultura mais bem sucedida.
Revise o treinamento e as tecnologias de segurança
Comece obtendo uma visão completa do treinamento relacionado à segurança e materiais de suporte técnico. Identifique quem os utiliza, quando os utiliza e os resultados que estão alcançando atualmente. Mapeie suas ferramentas de segurança:
- Quais ferramentas de segurança são utilizadas no nível dos funcionários e pelas equipes de TI e de segurança?
- Que tipos de ataques cibernéticos essas ferramentas abordam?
- Quão eficazes são em reduzir ou eliminar ataques?
- Onde estão as brechas atuais nas ferramentas?
Também é importante relembrar quais incidentes cibernéticos ocorreram no ano passado, e se a organização respondeu e se recuperou com sucesso deles.
Trace seus objetivos
Assim que você imaginar sua cibercultura atual, determine como você medirá o progresso para chegar no seu objetivo. Estabeleça KPIs (key performance indicators):
- Redução de erros de segurança dos funcionários (como clicar em um link de phishing)
- Aumento no número de ataques detectados e bloqueados
Você nunca eliminará todos os ataques cibernéticos, mas construir uma cibercultura mais forte pode reduzir seu impacto e construir uma resiliência organizacional significante.
Como a LastPass pode ajudar?
O LastPass simplifica a segurança na vida profissional para funcionários e líderes de TI, facilitando a geração, segurança, acesso e compartilhamento de credenciais.
Pare de deixar os dados do seu negócio expostos, comece agora a gerenciar e centralizar suas senhas de forma segura e eficiente.