Cultura de Segurança na empresa: Como engajar a equipe na prevenção de ameaças

Cultura de Segurança na empresa: Como engajar a equipe na prevenção de ameaças

Por Adriano Saad , Consultor Sr. em Governança de SI na Solor

É comum encontrarmos nas organizações atuais altos investimentos em recursos tecnológicos, treinamentos e processos voltados à prevenção de ameaças das mais diversas. São gateways variados como firewalls e IDS/IPS, antivírus, monitoramento, metodologias para gestão de riscos e programas de compliance

Todos esses métodos citados acima são eficientes para os recursos tecnológicos presentes na organização. Entretanto, existe um recurso que é considerado o mais frágil de todos aqueles que precisam ser protegidos e no qual estes métodos e ferramentas mencionados não os atinge plenamente: o recurso “pessoa”. 

Por mais que esses recursos “pessoa” recebam treinamentos, um treinamento é focado em algo previamente conhecido. Treinamento ensina técnicas e comportamentos específicos baseados em históricos conhecidos. 

E por que dizemos que o recurso “pessoa” é o mais frágil de todos? Simplesmente porque é o recurso em que não se consegue controle absoluto. Pessoas não são máquinas e nem podem ser tratadas como tal. Um antivírus detecta e exclui um malware conhecido imediatamente, com 100% de assertividade. Uma pessoa pode ceder sua senha de acesso para outra pessoa mesmo que tenha passado por extensos treinamentos onde isso foi severamente condenado. E ninguém fica sabendo desta atitude pois não existem mecanismos de controle para detectar este tipo de ação que sai da boca de uma pessoa para o ouvido da outra. 

Chegamos à conclusão, portanto, de que apesar de todas estas iniciativas serem fundamentais para a prevenção de ameaças, e devem ser implementadas e reforçadas continuamente, temos um ponto de fragilidade em que nem todas as organizações “investem suas fichas”: seus colaboradores internos e externos, fornecedores e, em alguns casos, clientes. 

É fundamental engajar estas pessoas no esforço comum de prevenir ameaças, sejam elas contra a organização ou contra o próprio indivíduo.         

A melhor forma de se obter este engajamento é a de CONSCIENTIZAR os colaboradores sobre o tema, seus riscos, os impactos para a organização, o indivíduo e a comunidade. Conscientizar não é treinar. Treinamentos massivos não conscientizam ninguém. Conscientização, como o nome diz, é fazer com que a pessoa tenha um entendimento tão profundo de como se comportar que as ações e reações sobre o tema se tornam automáticas e inconscientes. 

Quando nós vamos sair para a rua e vemos um céu repleto de nuvens pretas, não paramos para aplicar nossa metodologia natural de risco para avaliar a probabilidade de uma chuva ocorrer. Inconscientemente, e de forma automática, pegamos um guarda-chuva e nos vestimos com roupas mais apropriadas. Isso é estar conscientizado. 

Conscientização se obtém com campanhas contínuas, massivas, interativas e repetitivas, onde se exploram diversos temas específicos, os comportamentos e ações que são recomendados nos casos explorados. Essas campanhas trabalham o entendimento dos impactos à organização, ao indivíduo e à comunidade a tal ponto que os colaboradores compreendem e internalizam a importância de se fazer algo para prevenir, aceitando, e até mesmo cobrando de outros, as ações de prevenção necessárias. 

Conscientização é uma ação contínua, orientada a toda a organização, e não a uma área ou setor. Conscientização é um trabalho orientado a um esforço de compreensão coletiva e é um instrumento fundamental para a mudança de comportamentos, introduzindo conceitos importantes como uma postura questionadora e prudente em relação ao ambiente, pessoas e situações que ocorrem a sua volta, estabelecendo um novo olhar e uma nova atitude.

“Se for beber, não dirija! Se for dirigir, não beba!” 

Uma vez conscientizados, todos os seus colaboradores serão, eles mesmos, uma ferramenta ativa e contínua contra ameaças, sejam cibernéticas ou não, reforçando o aparato de prevenção da organização.

Danielle Ferreira

Gestão de Gente | RH | RH Generalista | BP | R&S | Liderança | TI | Gerente de RH | People Analytics |T&D.

5 d

Parabéns! Adriano Saad estamos muito feliz com engajamento e parceria com RH na conscientização continua de SI na Solor! 💙 🚀 #vamosjuntos #solor #rh #rhhumanizado #gestãodeTI

Entre para ver ou adicionar um comentário

Conferir tópicos