Criar uma cultura de conformidade com a cibersegurança

Desenvolver uma cultura de conformidade é tão importante como criar uma cultura de local de trabalho nas organizações. Organizações como a Equifax e a Capital One criam tempestades nos meios de comunicação social quando os dados sob a sua alçada são expostos; no entanto, as fugas de dados têm muitas formas e tamanhos. Uma das mais prejudiciais é uma fuga acidental de dados através de um empregado. O resultado de tal exposição de dados pode ter enormes implicações para uma organização, uma vez que não só a perda de dados sensíveis é embaraçosa e prejudicial para a reputação, como também pode ter impacto na sua postura de conformidade e resultar em pesadas multas.

Criar uma “cultura de conformidade com a cibersegurança” pode ajudar a evitar que a tua empresa se torne uma estatística de conformidade; eis como e porquê.

Quando os bons informadores se tornam acidentalmente maus

Muitos sectores são afectados pela simples questão dos acidentes e erros de origem humana, como a má configuração de uma base de dados ou a entrega incorrecta de um e-mail sensível. Estes eventos de cibersegurança são, infelizmente, demasiado comuns, tendo o relatório Verizon 2021 Data breach Investigations Report concluído que 22% dos incidentes de segurança se deveram a pessoas com conhecimentos internos.

Algumas ameaças internas podem ter uma intenção maliciosa, mas as que são acidentais podem ter um impacto enorme na posição de conformidade de uma empresa – a Australian National University é um exemplo disso. Um membro sénior do pessoal da universidade expôs acidentalmente 700 MB de dados que incluíam nomes, moradas, números de contribuinte, detalhes de contas bancárias, etc. O incidente ocorreu quando uma campanha bem-sucedida de spear-phishing, dirigida a dezenas de e-mails de funcionários da ANU, fez com que os hackers obtivessem acesso à rede através de um nome de utilizador e uma palavra-passe privilegiados.

Os e-mails mal direcionados são outra causa comum de fugas de dados. O desvio ou a entrega incorrecta de mensagens de correio eletrónico é fácil, sendo a utilização de “cc”, por oposição a “bcc”, uma forma comum de partilhar acidentalmente informações sensíveis. Foi o que aconteceu em 2020 com a Sonos, quando um funcionário expôs acidentalmente mais de 450 endereços de correio eletrónico ao adicionar endereços de clientes ao campo cc em vez de bcc quando respondia às reclamações dos clientes. O incidente foi comunicado ao ICO por um cliente lesado que constava da lista cc.

Uma forma eficaz de desafiar este comportamento é sensibilizar os empregados para o impacto de simples acidentes ou e-mails de phishing na postura de conformidade de uma organização. Se for bem feito, este envolvimento com os empregados em questões de conformidade resultará numa cultura de conformidade coerente em matéria de cibersegurança.

Como criar uma cultura de conformidade de segurança cibernética

A formação em conformidade exige uma compreensão das leis e regulamentos que afectam a tua organização. Os regulamentos estão relacionados com a cibersegurança quando se trata de leis de proteção de dados, como o Regulamento de Proteção de Dados do Reino Unido (DPA2018) e o Regulamento Geral de Proteção de Dados da UE (GDPR). A sensibilização para a conformidade entre os funcionários é o caminho para uma cultura de conformidade de cibersegurança.

A utilização da palavra “cultura” é importante. Uma cultura empresarial engloba ideias, costumes e, sobretudo, comportamentos. O comportamento humano está por detrás de muitas violações acidentais de dados, especialmente as que envolvem phishing. A vontade de clicar é forte nos seres humanos, uma vez que fomos condicionados a utilizar os computadores de uma determinada forma, tanto em casa como no trabalho. Para acabar com isto e substituí-lo por uma cultura empresarial de conhecimento e compreensão da forma como a cibersegurança e a conformidade interagem, começa no topo e espalha-se por toda a organização.

5 passos para criar uma cultura de conformidade que adote a cibersegurança:

1. Investir na segurança e na conformidade: defende e incentiva a mudança necessária para aumentar a sensibilização para as expectativas de conformidade. Isto exigirá um investimento em tempo, recursos e finanças; é necessário um compromisso a nível da direção para criar esta cultura de conformidade.
2. Cria um programa de conformidade envolvente para a mudança de cultura: uma cultura de conformidade de cibersegurança quebra limites e comportamentos enraizados. A quebra destes comportamentos deve ser feita de uma forma divertida e envolvente. Utiliza sessões de formação que envolvam ativamente os funcionários e a gestão de topo.
3. Desenvolve a compreensão e o conhecimento em torno da conformidade: as pessoas não podem mudar ou seguir uma política se não compreenderem porque é que lhes é pedido que façam algo. Ensina os teus funcionários sobre os porquês dos requisitos de conformidade. Cria um programa de conformidade eficaz que defina o seu papel na manutenção da segurança e da conformidade dos dados.
4. A segurança e a conformidade são para todos: construir uma nova cultura de conformidade é uma experiência partilhada. O teu programa deve refletir isto. Todas as partes da tua organização são parceiros iguais na construção da tua cultura de conformidade de segurança cibernética. No entanto, nem todas as partes da cultura de conformidade são iguais, e os programas devem ser adaptados a departamentos específicos. Por exemplo, os RH podem necessitar de ênfase na entrega incorrecta de e-mails, enquanto as TI podem necessitar de mais atenção à configuração incorrecta de bases de dados e servidores. Todos devem ser informados dos requisitos dos regulamentos e das políticas de conformidade que se adequam ao teu sector e à tua área geográfica.
5. Feedback e melhoria contínua da cultura: os regulamentos mudam, as pessoas esquecem a formação e os sistemas são actualizados. A criação de uma cultura de conformidade que adote a segurança cibernética e os esforços de conformidade não é uma tarefa única. O programa precisa de ser regularmente atualizado e apresentado. Uma forma de auditar a tua cultura de cibersegurança e conformidade é ouvir os teus funcionários. Isto também ajuda a consolidar o seu envolvimento na construção dessa cultura e a garantir a conformidade.

Os nossos funcionários são os guardiões finais dos dados que as nossas organizações geram, partilham, armazenam e eliminam. A tua força de trabalho deve estar consciente das consequências das suas acções na postura de conformidade de uma empresa e do papel que desempenha na manutenção dessa postura. No entanto, não basta simplesmente transmitir a mensagem!

Para mudar comportamentos e crenças profundamente enraizados, uma cultura de conformidade deve ser um valor fundamental que reflicta as necessidades das ameaças modernas à cibersegurança e os requisitos da regulamentação da segurança dos dados; e, tal como todas as mudanças culturais, isto só pode ser eficaz com a adesão dos que são afectados por essa mudança.