1. Home Brother
  2. Blog Brother Portugal
  3. Transformação digital
  4. 2024
  5. Como criar uma cultura de cibersegurança sólida
b2313-banner 1170x500px

Como criar uma cultura de cibersegurança sólida

Compreender o fator humano na cibersegurança e seguir os passos da Brother para construir uma cultura de cibersegurança sólida.

Segundo o Relatório sobre Riscos Mundiais do Foro Económico Mundial, 95% de todas as violações na área da cibersegurança em 2022 foram atribuídas a erros humanos. Embora a própria força de trabalho seja a maior ameaça para uma empresa, como a podemos culpar de algo que não sabiam ou entendiam?

O erro humano é um acto involuntário que costuma acontecer por falta de conhecimentos, enquanto o fator humano é o modo como uma empresa, uma cultura, um posto de trabalho e um indivíduo se combinam para dotar as pessoas destes conhecimentos e melhorar a sua fiabilidade no trabalho. Tendo isto em conta, é importante que centremos a nossa atenção no fator humano, especialmente em relação à cibersegurança.

Neste artigo da nossa série in[ctrl], exploramos como os profissionais de TI se encontram numa posição única para ajudar as equipas a diminuir a ameaça do fator humano. Continue a ler para descobrir os nossos práticos conselhos, que o ajudarão a implicar e incluir os seus colegas para que se convertam na primeira linha de defesa contra as ameaças da cibersegurança.

Riscos de cibersegurança no trabalho à distância: o fator humano

Esta forma de trabalhar trouxe muitas vantagens, como uma maior flexibilidade e produtividade. No entanto, também expôs os colaboradores a desafios de cibersegurança sem precedentes. Trabalhar a partir de casa pode provocar:

- Um ambiente mais relaxado que leva a uma equipa menos atenta;

- Maiores distrações que afetam os níveis de atenção;

- A troca entre dispositivos pessoais e de trabalho, podendo um infetar o outro;

- Uso não seguro da rede.

Ter em conta o fator humano pode ajudar os profissionais de TI a identificar oportunidades para ajudar os trabalhadores a fazer frente a ameaças e fomentar uma cultura de cibersegurança consistente.

O que é a cultura de cibersegurança?

Uma boa cultura de cibersegurança desenvolve-se quando todos os colaboradores entenderem como trabalhar da forma mais segura possível.

O fator humano é a melhor defesa contra os ciberataques e, também, a ligação mais débil da cibersegurança. São as pessoas, e não a tecnologia, quem cria uma cultura de cibersegurança eficaz. A primeira linha de defesa devem ser os colaboradores a proporcioná-la com os conhecimentos, o instinto e a consciência necessários para abordar os problemas de segurança. Os departamentos de TI são quem deve dar uma ajuda especializada em segurança que garanta a resistência da empresa.

 

6 passos para uma sólida cultura de cibersegurança

Se a cultura de uma empresa não está à altura, o fator humano em cibersegurança pode converter-se num risco importante. Dote as suas equipas da confiança necessária para criar uma cultura de cibersegurança resistente com os seis simples passos que indicamos de seguida:

1. Evite linguagem técnica

A linguagem técnica pode alienar aqueles que se esforçam por a compreender. Quando educar os seus colegas sobre as melhores práticas de cibersegurança, mantenha as coisas simples.

Comunique com os seus colegas, de outros departamentos fora do TI, utilizando uma linguagem fácil de entender. Provavelmente os contabilistas, designers e funcionários da restauração não compreenderão os conceitos de ransomware, troianos e malware. Mas entenderão a ideia de que o software malicioso costuma chegar através de emails falsos para infetar os sistemas informáticos.

Não complique demasiado as suas mensagens. A complexidade dos algoritmos de encriptação ou os filtros de saída não ajudarão as suas equipas a fomentar uma cultura de cibersegurança positiva. Apenas conseguirá confundir os colaboradores e gerar uma falta de confiança na cibersegurança.

Diga aos seus colegas o que eles necessitam saber para implementar uma forma de trabalhar mais segura e tomar medidas no caso de ser necessário para evitar um ataque.

B2313-1

2. Partilhe uma lista de controlo de cibersegurança

Uma lista de verificação a que todos os membros da empresa tenham acesso criará bons hábitos de cibersegurança.

Descreva num documento, fácil de entender, as medidas que todos devem tomar de forma proactiva, quando devem tomar e como devem fazer para reduzir o risco de um ciberataque.

Seguem em baixo alguns exemplos do que poderia incluir numa lista de verificação de segurança:

- Instalar proteção antivírus e verificar se há atualizações a cada duas semanas;

- Fazer cópias de segurança na nuvem semanalmente;

- Bloquear todos os visores de portáteis e dispositivos quando trabalhar num espaço partilhado ou de coworking;

- Conectar-se sempre a uma VPN corporativa;

- Utilizar palavras-passe únicas e seguras para cada conta e dispositivo;

- Alterar as palavras-passe mensalmente;

- Adotar uma abordagem de confiança zero a todas as mensagens de correio eletrónico;

- Utilizar proteção por palavra-passe e salas de espera para as reuniões virtuais;

- Desativar o Bluetooth e o uso partilhado de ficheiros quando não for necessário.

 

É importante ter consciência das ameaças a nível de rede, dispositivos e documentos. O uso de uma lista de verificação pode proporcionar esta abordagem de três níveis para a segurança e manter a salvo os dados e ativos.

É recomendável adicionar à lista capturas de ecrã, links ou vídeos explicativos para mostrar como aplicar eficazmente cada medida. Este elemento visual proporciona um guia passo a passo e uma ferramenta de referência. Alguns colegas podem preferir esta abordagem autoguiada.

B2313-2

3. Aumente o conhecimento dos procedimentos de emergência

Uma lista de verificação é eficaz para garantir que os companheiros seguem as melhores práticas de cibersegurança. No entanto, inclusivamente as empresas mais fortes podem ser vítimas de um ciberataque. Todos os membros da empresa devem saber o que fazer se suspeitarem que alguma coisa não está bem.

Um exemplo comum que exigiria a ativação de procedimentos de emergência é um email suspeito que chega à caixa de entrada de um colega. As pessoas devem saber o que fazer. No caso de dúvida, devem ter sempre a iniciativa de entrar em contacto com a equipa de primeiro nível em matéria de segurança e, mais importante ainda, saber quem a compõe. Inclusivamente pode adicionar um guia de procedimentos de emergência à sua lista de verificação de cibersegurança para ter todo o material num só lugar.

Aborde estes pontos no seu guia de procedimentos de emergência:

- Quem é o contacto da equipa de primeiro nível?

- Como podem os colaboradores entrar em contacto com ele?

- Horário de serviço.

- O que fazer fora do horário.

- Exemplo de procedimentos de emergência chave:

- Não clicar em links suspeitos;

- Não abrir ficheiros em anexo suspeitos;

- Não reenviar a outras pessoas;

- Não responder a emails suspeitos;

- Entre em contacto com a equipa de primeiro nível o quanto antes.

B2313-3

4. Realização de exercícios simples de simulação

Embora possa parecer trivial, uma rápida formação é uma forma eficaz de ajudar os colegas a refletir sobre as vulnerabilidades humanas no campo da cibersegurança. Levado a cabo em toda a empresa, este exercício colocará à prova a compreensão dos colaboradores sobre diferentes questões de segurança, ao mesmo tempo que ensina de uma forma mais leve.

Incluindo perguntas do tipo: o que faria? Ajudaria as suas equipas a:

- Autoavaliar os seus hábitos de cibersegurança;

- Manter a motivação para seguir as políticas de cibersegurança;

- Recordar a lista de verificação de cibersegurança;

- Aplicar o aprendido a possíveis situações de cibersegurança que possa encontrar.

 

Pode desenhar o exercício para testar aspetos concretos da cibersegurança, como por exemplo, o trabalho à distância. Um exemplo de pergunta poderia ser:

A) Partilha documentos relacionados com o trabalho através de serviços públicos de troca de ficheiros;

B) Mantem a mesma palavra-passe para várias contas online;

C) Utiliza uma rede privada virtual (VPN);

D) Deixa os seus equipamentos de trabalho desbloqueados e sem supervisão.

 

Resposta: C é a resposta correta porque o uso de uma Rede Privada Virtual (VPN) proporciona uma camada adicional de segurança enquanto se trabalha de forma remota e protege os dados confidenciais de possíveis ameaças em redes públicas.

 

Explicação:

A opção A está incorreta porque partilhar documentos relacionados com o trabalho utilizando serviços públicos de troca de ficheiros pode expor informação confidencial a pessoas não autorizadas.

A opção B está incorreta porque utilizar a mesma palavra-passe para várias contas em linha aumenta o risco de uma violação de segurança se uma conta for comprometida.

A opção D está incorreta porque deixar os dispositivos de trabalho abertos e sem supervisão em lugares públicos pode dar lugar a acessos não autorizados e a possíveis violações de dados.

 

Se explicar cada uma das respostas, adicionará ao questionário um importante valor didático.

B2313-4

5. Celebre os êxitos da cibersegurança

Uma sólida cultura de cibersegurança deve ser uma extensão da cultura da empresa. Celebrar os êxitos em cibersegurança é uma forma eficaz de criar uma equipa segura de si mesma, inspirar e fazer com que os colegas se sintam valorizados pelo seu esforço.

Motivar os colegas com pontuações sobre cibersegurança que possam ser atualizadas semanalmente. Relacioná-las com formação, questionários e deteção de possíveis ameaças. Incentivar deste modo cria uma equipa especializada que considera a cibersegurança como uma parte importante da segurança da sua empresa.

Um simples poster no quadro de avisos do escritório, um boletim semanal por email ou uma mensagem de atualização serão uma homenagem aos heróis cibernéticos da empresa que a tenham salvo de uma potencial ameaça ou de um dispendioso ataque. Isto incentiva os outros colegas a seguir os processos de cibersegurança e a detetar possíveis ameaças.

B2313-5

6. faculte atualizações periódicas

A cibersegurança não deve ser um tema que se trate de vez em quando, mas sim integrado no trabalho habitual de todas as equipas e departamentos da empresa. Para que isto aconteça, os profissionais de TI podem facultar atualizações periódicas com o objetivo de manter as equipas informadas sobre os últimos esquemas de phishing e emails suspeitos.

Pode criar um email mensal – O relatório de phishing ou algo similar – no qual detalha todos os esquemas mais recentes aos quais se deve prestar atenção. Estas atualizações periódicas manterão a cibersegurança na ordem do dia e evitarão que os colegas se esqueçam do assunto.

A implementação de uma cultura de cibersegurança não abarcará tudo: continuará a haver ameaças que podem enganar, inclusivamente, os mais preparados. Ainda assim, o ransomware foi o principal tipo de ataque na Europa nos últimos anos, o que significa que os ciberataques continuam a acontecer.

Mas através da implementação de uma abordagem centrada no fator humano para a segurança cibernética e seguindo os seis passos da Brother para construir uma sólida cultura de segurança cibernética, os profissionais de TI podem capacitar os seus colegas para reduzir este risco.

B2313-6

Mais de Transformação digital

Também lhe pode interessar...

Volta ao inicio