A importância do fator humano na segurança dos sistemas de informação

Os ciberataques e as ameaças à segurança da informação das organizações têm aumentado desde que a propagação da covid-19 colocou milhares de pessoas em regime de teletrabalho.

A necessidade de transpor rapidamente as operações da organização para fora de portas, levou a que as questões de segurança fossem relegadas para segundo plano. Em adição, há ainda o fator humano na segurança: a falta de formação dos colaboradores e a falta de método nos seus procedimentos diários para garantir a segurança de informação.

Ainda que a infraestrutura tecnológica seja muito importante para travar ciberataques, de acordo com a análise da CybSafe efetuada aos dados do Information Commissioner’s Office no Reino Unido, 90% das violações da informação em 2019 foram causadas por comportamentos humanos, não por falhas tecnológicas.

É certo que as empresas têm investido na proteção dos seus dados, mas continuam a não considerar a segurança de informação como uma característica intrínseca ao trabalho e a não envolver as suas equipas nos assuntos relacionados com a segurança da informação. É importante mudar a atitude e começar a considerar a importância do fator humano na segurança.

Então, como tornar as suas equipas mais conscientes para as questões de segurança e ultrapassar as ameaças do fator humano na segurança dos seus sistemas?

1. Envolva todos

A cibersegurança, a segurança dos ativos de informação, dos equipamentos ou até a segurança física e a higiene no local de trabalho é uma tarefa e um compromisso de todos os colaboradores da organização.

É importante que a direção da organização defina objetivos que promovam comportamentos seguros e que procure o apoio da camada de gestão para disseminar os procedimentos e as boas práticas que asseguram um ambiente seguro. Uma das técnicas para aumentar o compromisso dos colaboradores é a aplicação de técnicas de gamificação para tornar o processo mais interessante e divertido — algo que se quer fazer e não algo que se tem que fazer.

2. Quantifique o impacto nos negócios

Os colaboradores de uma organização, especialmente aqueles que não fazem parte da equipa de tecnologia, podem não ter perceção dos problemas e da destruição que as violações de segurança podem trazer.

Assim, é importante que a organização comunique o impacto das violações de segurança de forma simples e eficaz através do enquadramento das ameaças que existem (o risco para o negócio ou a paralisação dos serviços, por exemplo) e como os comportamentos dos colaboradores são importantes para as travar.

Quando se especifica o impacto de um ataque e como este afeta o trabalho de todos é mais provável que os colaboradores sigam as recomendações e diretrizes de segurança.

3. Mencione os riscos pessoais

Um ciberataque coloca em risco não só os dados da organização, mas também os dados pessoais dos seus colaboradores. Informações como morada, número de telefone, número da conta bancária estão armazenadas em aplicações e são tão vulneráveis ​​como os dados comerciais da organização. Deste modo, o respeito pelas normas de segurança é do interesse de todos.

O contexto de teletrabalho é uma oportunidade para a organização promover hábitos mais seguros nos espaços pessoais dos colaboradores. Atualmente existe uma permeabilidade entre a esfera laboral e a esfera pessoal, por exemplo, o portátil da empresa também se utiliza em casa para aceder a ativos da empresa através da rede pessoal. Deste modo, é importante passar a mensagem de que a segurança da organização está dependente das ações e procedimentos dos colaboradores.

4. Invista na formação

Para que os planos e processos de segurança sejam interiorizados, nada melhor do que investir em formação. O objetivo é alinhar os comportamentos dos funcionários com procedimentos que promovam a segurança da informação.

Assim, mais do que formação em tecnologias e ferramentas, importa que os colaboradores entendam o que são comportamentos seguros em diferentes contextos.

5. Aposte em autenticações seguras

A par das iniciativas de consciencialização para evitar comportamentos de risco é importante que os processos tecnológicos estejam integrados nos fluxos de trabalho. A autenticação segura nos sistemas de informação da organização, especialmente quando estes comunicam com sistemas externos, deve ser um processo crítico, mas quase transparente.

De forma a evitar enganos humanos, é vital que o sistema de autenticação integre com um sistema de perfilagem e defina perfis baseados na função e responsabilidades. Esta integração permite aos colaboradores utilizarem as ferramentas na plenitude das suas funções sem expor dados e funcionalidades de forma indevida.

Em jeito de resumo…

A melhor forma de manter a segurança dos seus sistemas é investir tanto na área tecnológica como na consciencialização dos colaboradores para a importância da segurança na informação.

A melhor tecnologia contra ciberataques não servirá de muito se esta não estiver integrada nos processos da empresa e não existir uma preocupação dos colaboradores em manter a organização segura. E não se esqueça que é sempre importante avaliar a origem da quebra de segurança para que sejam tomadas ações que impeçam a sua repetição.

José Vilarinho | CEO da Opensoft<br>

José Vilarinho | CEO da Opensoft<br>

Licenciado em Engenharia Informática pela Faculdade de Ciências e Tecnologia da Universidade Nova de Lisboa e MBA na Universidade Nova de Lisboa. A sua experiência profissional inicial concentrou-se no desenvolvimento de aplicações para administração pública e banca. Com a experiência adquirida, fundou a Opensoft em 2001. Desde então, está envolvido em projetos de transformação digital em áreas como a administração pública, banca ou educação, assim como na estratégia e gestão da empresa.

http://bit.ly/JoseVilarinho

Últimos artigos

Segurança

Get the Be Cyber Smart Kit

Segurança

IDC Security and Cloud Porto 2023 – Aftermovie

Segurança

The AppSec Tooling Puzzle