Aqui na Zup, criamos estratégias para a conscientização da importância da segurança da informação de uma maneira leve e descontraída para todas as pessoas da empresa.
Sabemos sobre a complexidade e relevância do tema, mas acreditamos que se abordarmos essas questões com simplicidade e objetividade, conseguiremos atingir o nosso objetivo.
Afinal, visamos causar impacto e engajamento, mantendo a confiança sob nosso fator humano como uma forma de controle contra invasões, com forte embasamento na nossa cultura.
Vamos compartilhar um pouco dessa experiência neste artigo!
O que é governança e suas linhas de defesa
Antes de mais nada, é importante falarmos sobre conceitos técnicos tradicionais. Governança é um tema amplamente discutido atualmente, pois sabemos que uma estrutura robusta e bem implementada agrega valor ao negócio.
Esse conceito deve ser utilizado como ferramenta pela administração no processo de tomada de decisões com o objetivo de trazer transparência, tanto sobre seus números financeiros quanto aos seus processos de negócios, que sustentam propósitos e metas.
No aspecto de governança, existem três linhas que são amplamente utilizadas para o estabelecimento destes conceitos. Para ficar mais fácil de entender o modelo das três linhas de governança, vamos fazer uma analogia com uma corrida de carros:
Primeira Linha de Governança
A primeira linha funciona como a pessoa piloto do carro, que está no comando da condução e controlando diretamente o veículo, sentindo quando é necessário acelerar mais, arriscar em uma curva ou reduzir a velocidade para mudar de rota ou evitar acidentes.
Na gestão de riscos, a primeira linha é formada por quem lida diretamente com os riscos diários inerentes aos seus processos e com a implementação de controles internos, assim como de políticas eficientes e consistentes.
Segunda Linha de Governança
Já a segunda linha, funciona como a pessoa engenheira de corrida, que fornece suporte a quem pilota, disponibilizando informações e garantindo que o carro esteja funcionando adequadamente, de acordo com as regras estabelecidas.
A segunda linha é formada pelas áreas de controle interno, compliance e segurança da informação que fornecem orientação, monitoramento e suporte ao pessoal da primeira linha.
Terceira Linha de Governança
Por fim, a terceira linha é como as comissões desportivas e federações, que atuam de maneira independente, avaliando se o desempenho do carro e da pessoa piloto estão de acordo com as regras da competição.
A terceira linha é formada por profissionais da auditoria interna que fornecem uma revisão independente e imparcial das atividades de gestão de riscos das linhas um e dois.
Controles internos e objetivos
Como implementar controles internos de segurança da informação alinhados com os objetivos estratégicos da empresa? Vamos responder contando mais sobre nosso modelo de Governança de Segurança da Informação (SecGov)!
Dentro da estrutura de SecGov, existe uma área dedicada à governança, que tem como principal objetivo implementar os conceitos técnicos de orientação, monitoramento e suporte voltados para o tema de Segurança da Informação e Cybersecurity.
A área atua de maneira ativa, propondo novos controles; melhorias em processos e procedimentos; e realizando monitoramentos periódicos. Para isso, contamos com um time de profissionais com habilidades técnicas diversas e de gestão de riscos de controles cibernéticos.
Política de segurança
Neste contexto, temos a política de Segurança da Informação que é um documento que contempla todas as diretrizes fundamentais que stakeholders devem conhecer, praticar e concordar para proteção de dados e aplicação da tríade CIA:
- confidentiality: confidencialidade;
- integrity: integridade;
- availability: disponibilidade.
Dessa forma, um treinamento de Segurança da Informação foi desenvolvido para disseminação destes conhecimentos. Tanto o treinamento quanto a política de segurança da informação são materiais vivos e devem ser reciclados por stakeholders pelo menos anualmente, seguindo as boas práticas de mercado baseadas em frameworks de tecnologia.
Conceitos importantes como os cuidados necessários na utilização de suas credenciais (usuário e senha) e práticas comuns de engenharia social são temas amplamente apresentados nesses materiais, pois o fator humano é o elo mais fraco quando se fala em segurança da informação. Dessa forma, é de extrema importância a disseminação deste conhecimento como forma de aculturamento.
Atualmente, a realização deste treinamento e o aceite sobre a política de Segurança da Informação são realizados no processo de nossas boas-vindas, assegurando assim a aderência destes temas já na linha de largada.
Dessa forma, o time de Governança implementou um controle mensal, para acompanhar o nível de engajamento de zuppers sobre a realização do treinamento e aceite de política. Afinal, faz parte do nosso objetivo estratégico fomentar nosso pilar de cultura “somos guardiões da segurança”.
Então, o que está sendo avaliado?
Basicamente, identificamos a variação de pessoas que realizaram o treinamento de um mês para o outro, considerando novas pessoas com acesso ao nosso ambiente, e geramos o indicador do período.
Como resultados práticos, temos dados para trabalhar em ações de comunicação constantes com quem não está em conformidade, para atuarmos de maneira ativa com essas pessoas, buscando alcançar mais engajamento.
Quando se fala sobre a operacionalização de controles internos de segurança é de extrema importância que todos os documentos utilizados na análise sejam mantidos em sua integridade, inclusive os relatórios extraídos dos sistemas/ferramentas, para fins de auditoria.
Outro ponto muito importante é o envolvimento da liderança no acompanhamento da execução dos controles. No momento de revisar um indicador, líderes devem se atentar ao temas:
- Os relatórios gerados estão íntegros?
- Caso o controle aponte exceções, estas estão justificadas e tratadas?
- O percentual de engajamento está alinhado com a expectativa da alta administração?
- Existe alguma tomada de decisão importante a ser tomada sobre pessoas que não fizeram o treinamento?
Ao enviar sua aprovação para um determinado relatório, a liderança atesta que esses pontos mencionados acima foram mitigados e que está comprometida com os controles internos de segurança da organização.
Dicas que reforçam a importância da segurança da informação
Por fim, deixamos aqui seis dicas simples, mas valiosas, sobre como implementar um programa de conscientização em segurança da informação. Confira:
1. Conheça seu público
Antes de tudo, é importante saber quem são as pessoas que precisam de conscientização da importância da segurança da informação na sua empresa. Cada público tem seu jeito de aprender e absorver informações, então tente ajustar sua mensagem de acordo com as pessoas.
2. Fale de acordo com a linguagem do público-alvo
Após conhecer seu público, crie conteúdos que serão compreendidos pelas pessoas. Não adianta ficar usando termos técnicos complicados para um público que não possui este conhecimento, né?
A mensagem precisa ser simples e fácil de entender para todo mundo. E lembre-se de ser consistente para que as pessoas sigam as mesmas práticas de segurança.
3. Treine todo mundo
Não tem jeito, um treinamento sempre ajuda o público a entender melhor sobre segurança da informação. Faça sessões de treinamento divertidas e práticas para que todas as pessoas possam participar e aprender.
4. Crie uma cultura de segurança
A segurança da informação não é só responsabilidade do pessoal de tecnologia e/ou segurança, mas de cada pessoa da empresa.
Incentive os times a serem proativos e a reconhecer comportamentos positivos relacionados a esse tema. Não se esqueça de mostrar que violar as políticas traz grandes consequências.
5. Realize testes internos
Não podemos assegurar o sucesso da campanha sem simular a aderência do seu público e uma maneira efetiva é a utilização de práticas de engenharia social, como a simulação de testes de phishing.
Tal ação busca medir o aculturamento sobre segurança da informação na empresa e alertar as pessoas sobre ataques nocivos.
6. Fique por dentro das novidades
O mundo da segurança da informação está sempre mudando, então é importante estar por dentro das últimas tendências e ameaças. Mantenha as pessoas atualizadas sobre as mudanças da área por meio de comunicações periódicas para toda a empresa.
Por exemplo, no dia da Segurança da Informação, nós tivemos o Sec Day! Um evento com especialistas da área que se reuniram para debater sobre a importância da segurança no mercado de tecnologia. Assista!
Conclusão
Reunimos tópicos sobre a importância da segurança da informação, com noções de governança e relevância de treinamentos, não só para quem tem acesso direto a dados sensíveis, como também para toda a empresa. Um movimento que precisa ser abraçado pela cultura organizacional.
Aqui na Zup, somos guardiões da segurança e é muito importante que nossas atividades sejam sempre executadas com este propósito. Conheça um pouco sobre nossa cultura!
Esperamos que tenha gostado do artigo sobre “a importância da segurança da informação”. Se tiver alguma dúvida, pode enviar seu comentário abaixo!
