Desenvolver uma cultura de conformidade é tão importante como criar uma cultura de local de trabalho dentro das organizações. Organizações como a Equifax e a Capital One criam tempestades nos meios de comunicação quando os dados sob a sua vigilância são expostos; no entanto, as fugas de dados têm muitas formas e todos os tamanhos. Uma das mais prejudiciais é uma fuga acidental de dados através de um funcionário. O resultado de tal exposição de dados pode ter enormes implicações para uma organização, uma vez que não só a perda de dados sensíveis é embaraçosa e prejudicial para a reputação, como também pode ter impacto na sua postura de conformidade e resultar em pesadas multas.
A construção de uma "cultura de conformidade de segurança cibernética" pode ajudar a evitar que a sua empresa se torne uma estatística de conformidade; aqui está como e porquê.
Quando os bons infiltrados se tornam acidentalmente maus
Muitos sectores são atormentados pela simples questão dos acidentes e erros de iniciativa humana, tais como a configuração errada de uma base de dados ou a entrega errada de um correio electrónico sensível. Estes eventos de cibersegurança são, infelizmente, demasiado comuns, com o relatório da Verizon 2021 Data breach Investigations Report a constatar que 22% dos incidentes de segurança se deveram a infiltrados.
Algumas ameaças internas podem muito bem ser mal intencionadas, mas as que são acidentais podem ainda ter um impacto maciço na postura de conformidade de uma empresa - sendo a Universidade Nacional Australiana um exemplo disso mesmo. Um membro sénior do pessoal da universidade expôs acidentalmente 700 MB de dados que incluíam nomes, moradas, números de ficheiros fiscais, detalhes de contas bancárias, etc. O incidente ocorreu quando uma campanha de spear-phishing bem sucedida, visando dezenas de emails do pessoal da ANU, resultou em hackers que obtiveram acesso à rede através de um nome de utilizador e senha privilegiados.
Os e-mails mal direccionados são outra causa comum de fugas de dados. O mau encaminhamento ou a entrega incorrecta de e-mails é facilmente feita, sendo a utilização de 'cc', em oposição a 'bcc', uma forma comum de partilhar acidentalmente informação sensível. Isto aconteceu em 2020 à Sonos, quando um funcionário expôs acidentalmente mais de 450 endereços de e-mail, acrescentando endereços de clientes ao campo 'cc' em vez de 'bcc', ao responder às reclamações dos clientes. O incidente foi comunicado ao ICO por um cliente lesado na lista cc.
Uma forma eficaz de desafiar este comportamento é sensibilizar os funcionários para o impacto de simples acidentes ou e-mails de phishing na postura de conformidade de uma organização. Se for bem feito, este envolvimento com os funcionários em questões de conformidade resultará numa cultura coerente de conformidade cibernética de segurança.
Como Construir uma Cultura de Conformidade de Segurança Cibernética
A formação em conformidade requer uma compreensão das leis e regulamentos que afectam a sua organização. Os regulamentos articulam-se com a cibersegurança quando se trata de leis de protecção de dados, tais como o Regulamento de Protecção de Dados do Reino Unido (DPA2018) e o Regulamento Geral de Protecção de Dados da UE (GDPR). A sensibilização dos funcionários para o cumprimento é o caminho para uma cultura de cumprimento da segurança cibernética.
A utilização da palavra "cultura" é importante. Uma cultura empresarial engloba ideias, costumes e, o que é importante, comportamentos. O comportamento humano está por detrás de muitas violações acidentais de dados, especialmente as que envolvem phishing. A vontade de clicar é forte nos humanos, uma vez que fomos condicionados a utilizar computadores de uma certa forma, tanto em casa como no trabalho. A quebra disto, e a sua substituição por uma cultura corporativa de conhecimento e compreensão de como a segurança cibernética e a conformidade interagem, começa no topo e dispersa-se por toda a organização.
5 Passos para Criar uma Cultura de Conformidade que Abrace a Segurança Cibernética:
- Investir em segurança e conformidade: defender e encorajar a mudança necessária para aumentar a sensibilização para as expectativas de conformidade. Isto exigirá um investimento em tempo, recursos e finanças; é necessário um compromisso ao nível da direcção para construir esta cultura de conformidade.
- Construir um programa de conformidade envolvente para a mudança cultural: uma cultura de conformidade de segurança cibernética rompe fronteiras e comportamentos enraizados. A quebra destes comportamentos deve ser feita de uma forma divertida e envolvente. Utilizar sessões de formação que envolvam activamente os funcionários e os quadros superiores.
- Construir compreensão e conhecimento em torno do cumprimento: as pessoas não podem mudar ou seguir uma política se não compreenderem porque lhes é pedido que façam algo. Ensine os seus empregados sobre os porquês e onde os requisitos de cumprimento. Criar um programa de conformidade eficaz que defina o seu papel na manutenção da segurança e conformidade dos dados.
- Segurança e conformidade são para todos: construir uma nova cultura de conformidade é uma experiência partilhada. O seu programa deve reflectir isto. Todas as partes da sua organização são parceiros iguais na construção da sua cultura de conformidade com a segurança cibernética. No entanto, nem todas as partes da cultura de conformidade são iguais, e os programas devem ser adaptados a departamentos específicos. Por exemplo, os RH podem exigir ênfase na má entrega de e-mails, enquanto que as TI podem exigir mais atenção à má configuração das bases de dados e servidores. Todos devem estar cientes dos requisitos dos regulamentos e das políticas de conformidade que se ajustam à sua indústria e geografia.
- Feedback e melhoria contínua da cultura: os regulamentos mudam, as pessoas esquecem a formação, e os sistemas são actualizados. A construção de uma cultura de conformidade que abrace a segurança cibernética e os esforços de conformidade não é uma tarefa pontual. O programa precisa de ser actualizado e entregue regularmente. Uma forma que a sua cultura de segurança e conformidade cibernética pode auditar é ouvindo os seus empregados. Isto também ajuda a cimentar o seu envolvimento na construção dessa cultura e a garantir o seu cumprimento.
Os nossos empregados são os últimos guardiões dos dados que as nossas organizações geram, partilham, armazenam, e eliminam. Os seus trabalhadores devem estar conscientes das consequências das suas acções na postura de conformidade de uma empresa e do papel que desempenham na manutenção dessa postura. No entanto, não é suficiente simplesmente entregar a mensagem!
Para mudar comportamentos e crenças profundamente enraizados, uma cultura de conformidade deve ser um valor central que reflicta as necessidades das modernas ameaças à segurança cibernética e os requisitos de regulamentação da segurança de dados; e, como todas as mudanças culturais, isto só pode ser eficaz com a adesão daqueles que são afectados por essa mudança.