Guia CISO: Como criar uma cultura security awareness

Um programa de segurança sólido deve centrar-se nas pessoas, nos processos e na tecnologia. Isto é muitas vezes referido como o "triângulo dourado".

Muitos CISOs consideram que o aspeto "Pessoas" é a parte mais difícil dessa estrutura. De longe.

Conseguir a adesão das partes interessadas. Fazer com que os empregados acreditem nos teus planos. Comunicar as ameaças cibernéticas de forma clara e eficaz. E, acima de tudo, criar uma cultura em que a segurança seja sempre uma prioridade, em vez de uma reflexão tardia.

Este CISO sabe como isso pode ser importante, mas complexo 👇

Neste artigo, vamos discutir como os CISOs podem criar uma cultura security awareness na sua organização.

Mas, primeiro, vamos determinar o que é realmente uma cultura security awareness .

O que é uma cultura security awareness (e porque é que é importante)?

A cultura de uma empresa baseia-se nas crenças e comportamentos da organização. Quando uma empresa tem uma forte cultura de security awareness , os funcionários estão cientes das ameaças cibernéticas relevantes, das actividades que devem comunicar e de quem contactar nessas situações. Quando a tua organização tem uma cultura security awareness sólida, não é vista como uma reflexão tardia, mas como uma prioridade.

Nos dias de hoje, é fundamental apostar numa cultura security awareness forte. 95% de todos os hacks e violações de dados são causados por erro humano:

• Clica em phishing links
• Não actualiza o software
• Utilizar palavras-passe fracas
• Trabalhar remotamente sem uma VPN

E a lista continua.

É por isso que é prejudicial perdermo-nos na tecnologia e nos processos se ainda não prestámos a devida atenção aos nossos colaboradores.

Numa organização onde não existe uma forte cultura security awareness , a segurança é sempre "responsabilidade de outra pessoa". Mas o que é necessário é um sentido de propriedade partilhado por toda a organização. Porque só és tão forte quanto o teu elo mais fraco.

Falando sobre a cultura da empresa, Dustin Moskovitz, cofundador e CEO da Asana, destaca a importância da persistência e de começar cedo. "Se adiares este trabalho porque te parece difícil e distrativo agora, estás apenas a preparar-te para um problema muito mais difícil (e eventualmente impossível) de resolver mais tarde. A cultura reforça-se a si própria e torna-se mais rígida ao longo do tempo, por isso é importante empurrá-la na direção certa o mais cedo possível."

Constrói uma cultura security awareness em cinco passos

Agora que já estabelecemos a importância de uma cultura security awareness forte, vamos discutir os passos que precisas de dar para construir uma na tua organização.

1. Obtém o apoio da liderança

O primeiro passo que deves dar é começar pelo topo. A construção de uma cultura começa com o apoio da tua liderança. Se a liderança não investir em security awareness, todo o teu trabalho será inútil. Todas as culturas empresariais são cultivadas de cima para baixo no início. Porque se o Diretor Executivo não a considera uma das suas prioridades, porque é que qualquer outra pessoa na empresa deveria sentir o mesmo?

Tal como acontece com qualquer outra unidade de negócio, a tua função como CISO é comunicar o grau de segurança atual da tua organização e as iniciativas que tens planeadas para a melhorar. Quanto maior for a regularidade com que comunicares estes dados, melhor será a tua mensagem ao longo do tempo.

É útil apresentar regularmente um painel de controlo com o qual toda a equipa de liderança se possa familiarizar. Pode ser, por exemplo, os resultados do mês passado do teu programa de formação security awareness . A partir daí, podes responder às seguintes perguntas:

• Em que ameaças cibernéticas foi a equipa treinada?
• Que temas requerem mais atenção?
• Que departamentos têm melhor ou pior desempenho?
• O que é que as pontuações dizem sobre o nosso nível geral de segurança?

Depois de obteres a adesão da equipa de liderança, é altura de te concentrares nos "campeões" do teu departamento. Estes podem ser chefes de equipa ou chefes de um determinado departamento. Estas são as pessoas que te darão o tão necessário feedback quando estiveres a implementar iniciativas de segurança.

Como CISO numa organização de maior dimensão, é muito provável que lides com muitos intervenientes diferentes ao mesmo tempo, todos eles exigindo uma abordagem diferente. Pode ser fácil perder a noção de com quem tens de comunicar e quem precisa de mais atenção. Podes utilizar um modelo de gestão das partes interessadas para manteres todos os teus assuntos em ordem.

2. Cria uma declaração de marca

Agora que já tens a adesão dos líderes, inclui-os no processo de criação de uma declaração de marca. Esta deve responder a todas as questões importantes relacionadas com as suas políticas de segurança, tais como a forma como os empregados podem contactá-lo ou como actua face a uma ameaça cibernética.

De acordo com a CISO Jadee Hanson, a melhor maneira de fazer cumprir esta declaração de marca não é comunicá-la. Hanson encoraja os CISO a simplesmente celebrar o comportamento que procuras. Isto cria um efeito de bola de neve dentro da tua organização de pessoas que podem tentar obter o mesmo reconhecimento. Mais adiante, neste artigo, falaremos sobre formas de celebrar a tua equipa.

3. Organiza a formação regular dos trabalhadores

Não é possível ter uma cultura security awareness forte sem formar os seus funcionários sobre as actuais ciberameaças e sobre o que está a tentar proteger. Os teus funcionários têm de compreender o quanto a tua organização está em risco e o que está em jogo.

Em muitas organizações, a formação security awareness é oferecida apenas uma ou duas vezes por ano para cumprir regulamentos como o RGPD. Não é desse tipo de formação que estamos a falar aqui.

Para criar uma verdadeira consciência, a repetição é fundamental. A investigação mostra que 90% de todas as aprendizagens de um curso único são esquecidas ao fim de duas semanas. Quando ofereces formação regular, os funcionários adquirem conhecimentos ao longo do tempo e ocorrem verdadeiras mudanças de comportamento. É simplesmente impossível criar uma cultura de security awareness quando os empregados têm de pensar nisso ativamente uma ou duas vezes por ano.

Ao encontrar a solução de formação correcta, certifica-te de que não se centra apenas em phishing. Phishing é a maior ameaça cibernética, mas não é a única. Precisas de um programa de formação que se concentre em todos os temas relevantes, incluindo:

• Phishing
• Pesca
• Trabalho remoto seguro
• Fraude do diretor executivo
• Atualização do software
• Ransomware

É claro que não precisas de dar esta formação pessoalmente. Muitos especialistas em segurança têm dificuldade em dar formação básica em security awareness . Não por falta de conhecimentos, mas porque ensinar é uma competência subestimada que nem toda a gente possui. Explicar conceitos complexos em termos leigos é uma forma de arte.

Com uma solução como o Guardey, a tua equipa recebe todas as semanas um desafio online de 3 minutos para treinar security awareness. Este jogo security awareness foi criado com a ajuda de profissionais de segurança e pedagogos.

4. Comunica, comunica, comunica

Assim que tiveres a adesão e a formação em vigor, é altura de comunicar, comunicar e comunicar um pouco mais. Qualquer diretor executivo que seja conhecido por construir uma cultura empresarial forte é conhecido por repetir os valores fundamentais vezes sem conta.

Como CISO, tens de chamar regularmente a atenção e comunicar as tuas prioridades de segurança e repetir a responsabilidade partilhada por toda a equipa.

Para além da comunicação das políticas de segurança e das actualizações importantes, que muitas vezes são um pouco secas (mas necessárias), utiliza um ângulo positivo. Uma boa forma de o fazer é reconhecer ativamente, recompensar e celebrar abertamente os comportamentos conscientes em matéria de segurança.

Partilha uma mensagem no canal Slack da empresa sobre como o Peter denunciou uma ameaça cibernética que poupou muitos problemas à empresa. Ou partilha os resultados da tua solução de formação security awareness e celebra os melhores desempenhos durante uma palestra. As opções são infinitas.

A transparência é fundamental aqui. Certifica-te de que tu e a tua equipa estão acessíveis e que existem canais para que o resto da organização também te possa contactar.

5. Mede, avalia e melhora

Medir é saber. Para saberes se as tuas iniciativas de security awareness estão a dar frutos, terás de estabelecer alguns indicadores-chave de desempenho (KPI).

Se utilizares uma solução de formação security awareness como o Guardey, podes simplesmente olhar para o teu painel de controlo e ver o desempenho da tua equipa. Semanalmente, obténs novas informações que te ensinam quais os tópicos em que a tua equipa está a obter bons resultados e quais os tópicos que precisam de mais atenção. Também te mostra como está a participação da equipa. Uma taxa de participação elevada é fundamental e um indicador importante de que a equipa valoriza a formação.

Mas uma forma subestimada de medir os efeitos dos teus esforços em security awareness é olhar para os sinais não tão óbvios:

• Há um aumento das denúncias de ciberameaças?
• Os colegas estão a chamar a atenção uns dos outros para comportamentos indesejados?
• Estás a receber mais perguntas sobre segurança em geral?

Todos estes são sinais claros de um elevado sentido de responsabilidade. No momento em que as pessoas dentro da tua organização se tornam proactivas, é quando podes realmente falar de uma cultura security awareness .

Se és um CISO, nem sempre consegues detetar todos estes sinais, especialmente em organizações maiores. É por isso que um inquérito regular para recolher feedback pode ser útil.

Depois de reunires todas estas informações, é importante utilizá-las e melhorar os processos que tens em vigor.

O teu pessoal pode ser a tua firewall mais forte

A "cultura" é uma palavra que se diz facilmente. É quase tão fácil escrever um par de valores fundamentais e ficar por aí.

Mas promover uma cultura security awareness é um trabalho árduo. A tua organização, incluindo a tua equipa de liderança, pode ver-te como um obstáculo. Podem ver a segurança como "não sendo problema deles". E mudar esse interrutor é difícil. Mas quando o fizeres, os resultados valerão a pena.