Uma pesquisa realizada pela Verizon, (https://www.verizon.com/business/resources/reports/dbir/), em 2021, a partir de 79 mil incidentes em 88 países, revelou que 85% deles tiveram como causa o fator humano.
A razão para esse percentual tão elevado foi o aumento do trabalho em home office, como decorrência da pandemia, sem o correspondente investimento em segurança, por parte das suas empresas.
Os incidentes mais comuns, segundo o relatório, foram aqueles que utilizaram táticas/técnicas de engenharia social como comprometimento de e-mail, phishing e ransomware.
Isso evidencia que não há qualificação das pessoas envolvidas diariamente nos processos de negócio das Empresas e nos seus respectivos tratamentos de dados (sejam pessoais ou não).
Se olharmos para a LGPD há a exigência clara de que as organizações devem adotar medidas de segurança, técnicas e administrativas que atendam padrões mínimos visando evitar acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (Art. 46, LGPD).
Mas de nada adianta o investimento maciço em tecnologia de software e hardware, e classificação das informações quanto aos seus aspectos de confidencialidade (acesso apenas a quem autorizado), disponibilidade (acessíveis somente a quem deve acessar) e integridade (informações fidedignas e autênticas), se não houver o investimento nas pessoas.
É preciso pensar na qualificação de todos aqueles que fazem parte da Empresa e que com ela se relacionem criando um ambiente humanizado onde cada um se apropria dos valores de proteção de dados e se vê como responsável pela sua segurança e a do próximo. Isso é criar uma cultura de proteção de dados organizacional e perene.
Então, não treine e sim qualifique, invista em todas as pessoas que fazem parte da Empresa e naqueles que com ela se relacionem.
Não ofereça treinamento como se isso fosse o caminho correto. Treinar é somente condicionar, e isso deve ser deixado para as situações de ação e reação direta.
Qualificar é conscientizar, educar, transmitir para se adquirir conhecimento e é isso que fará com que as situações de risco de segurança da informação possam ser melhor identificadas e evitadas.
Mas só qualificar não basta. É preciso também tomar outras medidas técnicas e administrativas como por exemplo:
A criação de políticas de segurança claras e que possam ser compreendidas por todos da Empresa.
Se for preciso, faça diversas versões do mesmo documento, cada uma com a linguagem que for de melhor compreensão a cada grupo da Empresa. O que se quer é efetividade.
Essas políticas podem envolver regras sobre:
o uso dos Computadores da empresa
uso de computadores pessoais no ambiente da empresa,
possibilidade ou não de acesso a e-mails ou outras contas pessoais no horário de trabalho
conexão de pendrives HD externos ou outros periféricos nos equipamentos da Empresa
bloqueio de sites que possam oferecer risco à segurança
criação de logins de usuários e padrão de senhas fortes, com registro de logs de acesso
Criação de controles e mecanismos de proteção específicos para as áreas e usuários que têm envolvimento com processos e tratamentos em grande volume de dados e informações, que possam apresentar alto risco para a empresa, como exemplo o Financeiro, RH e comercial.
Estabelecimento de controles técnicos
Tenha uma área de TI e de SI à frente da construção das políticas internas de segurança da informação, de incidentes de segurança coma criação de controles técnicos que evitem os ataques cibernéticos.
Realização de simulações de ataques
Simulações sempre medem o nível de maturidade e de entendimento de todos os membros de empresa e ajudam a trazer indicadores para onde se deve olhar, para qual o elo mais fraco da cadeia que precisa ser melhor atendido para elevar o nível de segurança.
Quando todas essas medidas compõe o processo de qualificação de todos os membros de uma Empresa, cria-se um ambiente de pertencimento passando-se a trabalhar com a Empresa e não para a Empresa.
Por Luciano Escobar
