Security, Cyber, H&S... hora de unir forças!

 

Estamos juntos? 
Este é o compromisso da sua empresa na pandemia?

Nestes tempos de incerteza, é fundamental garantir que os funcionários estejam seguros e que possam continuar seu trabalho com segurança, bem como, exista o comprometimento de que não ocorrerão demissões relacionadas à crise do COVID-19. Mostram-se necessárias políticas temporárias que sigam as orientações das autoridades locais e da OMS, e que atendam as preocupações e níveis de conforto dos funcionários, home office, horários de trabalho, viagens restritas ou adiadas, etc. Deve-se buscar a filosofia de que Security & Health & Safety (H&S) não são apenas responsabilidades destes departamentos, e sim de todos os funcionários, que desempenham papel importante na proteção dos ativos da organização. 

É fato que pessoas mal intencionadas não entendem que o Cyber, Físico, Financeiro, etc. da empresa estão separados... eles não se importam... eles apenas atacam! De qualquer forma, o Mercado tende à união de todas as forças da organização. Cerca de 25% das lideranças de Segurança pretendem convergir suas equipes de Segurança Física com as de Segurança Cibernética e, por vezes, até a Continuidade de Negócios. Esta abordagem leva ao maior alinhamento estratégico da Segurança com os objetivos Corporativos, melhor comunicação e cooperação, operações de Segurança mais eficientes e mais visibilidade e influência junto à Diretoria e os C-suite da empresa. E esta tendência vai além, busca também prevenir fraudes. Por exemplo, o Serviço Secreto dos USA recentemente fundiu suas Forças-Tarefa de Crimes Cibernéticos com as Forças-Tarefa de Crimes Financeiros, e agora são conhecidos como Força-Tarefa de Fraude Cibernética.

Pagamentos online e internet banking são comuns, números de cartões de crédito e informações pessoais são vendidos ilegalmente na Dark Web, e as criptomoedas se tornaram um dos principais meios de lavagem de dinheiro. Para investigar crimes financeiros ou cibernéticos, deve-se entender tanto os setores financeiro e de Internet, como as tecnologias e instituições que atendem cada indústria.

Engajar seus executivos, pode ajudar no amadurecimento da cultura de que a segurança é responsabilidade de todos, e não apenas da equipe de Segurança. Isso se tornou fundamental nos últimos anos, à medida que a engenharia social e o phishing tornaram-se alguns dos principais métodos de ataque. E tudo começa com a falta de atenção das pessoas com a segurança. Em geral, os funcionários têm algum grau de acesso às redes corporativas e aos dados confidenciais da empresa que, se comprometidos, colocam a organização em risco. Sendo assim, os empregados precisam de algum conhecimento de segurança, para que o risco seja reduzido.

Ter um programa que se concentre em um tópico por mês e que trate de temas abrangentes, é uma saída. O material pode ser desenvolvido internamente e ser compartilhado pelas TVs distribuídas pelos corredores da empresa, por exemplo. E aqui surge o simples, respostas sobre como lidar com um problema de segurança rotineiro, tipo se conectar ao Wi-Fi em uma cafeteria ou os cuidados básicos com usuário e senha. 

Palestrantes externos, como Frank Abagnale, podem potencializar a audiência dos empregados e possibilita que sejam compartilhadas informações sobre tópicos avançados de segurança, bem como riscos que afetam o cotidiano de todos, como proteger corretamente sua rede Wi-Fi em casa. Lembre-se, se o funcionário for uma vítima em home office, além das informações pessoais dele, as da empresa também estarão em risco.

Outras parcerias com o RH e Comunicações, são sempre benvindas. Isto facilita a mudança na mentalidade dos empregados e ajuda na explicação e absorção de conceitos técnicos para o público em geral. O desenvolvimento de campanhas de teste phishing, para todos os funcionários, com relatórios à Diretoria e os C-suite, são opções. A conscientização top-down é necessária, assim como aplicar treinamento aos empregados que apresentarem desvios, além de estabelecer padrões de comportamento aceitáveis e consequências associadas. É importante deixar claro que os colaboradores são responsáveis por suas condutas. 

home office mudou o cenário de ameaça. Proteger roteadores domésticos passou a ter uma maior importância. Comunicados e orientações aos funcionários agora se apresentam necessários para garantir a segurança do trabalho remoto e reduzir o risco para a Empresa. A ideia é não olhar apenas para a segurança dentro da organização, mas como sendo um modo de vida, pois já que permitimos que os funcionários se conectem ao trabalho a partir de qualquer lugar, precisamos “pensar segurança” em todas as situações. E, combinando-se equipes como as de segurança cibernética e física, cria-se a percepção de que a Segurança é um facilitador de negócios, e não uma força policial. Isto vai trazer melhor aceitação do processo como um todo e, com a maturidade da cultura dos funcionários, você pode almejar metas ambiciosas e ajustar ainda mais seus controles de segurança.

As parcerias com empresas de pequeno e médio porte são recomendadas e podem apoiar na divulgação das melhores práticas. Compartilhar material de conscientização também é saudável, afinal, quanto mais abrangente o ambiente seguro é, melhor para os inseridos nele.

Fonte: Mastercard Takes a Unified Approach to Security, Megan Gates, Senior Editor - Security Management - Sep 2020



1 comentários:

Cezar Pinheiro - CPORSP 94 disse...

Salve Moscone, excepcional texto, ein. Como de praxe, aliás. Mas, ouso a compartilhar algumas inquietações: 1) vc acha que as tais autoridades públicas e da OMS estão habilitadas em suas orientações e as tais “dicas” são compatíveis com a sobrevivência da empresa e viabilidade de suas atividades, especialmente em época de redução de capital pela pandemia? 2) como você acha que é possível o empresário mudar a rotina doméstica dos seus funcionários, que em suas casas além de trabalharem tem péssimos hábitos? 3) é possível operacionalizar o contato home office e empresa do funcionário, com a segurança e redução de gastos? 4) até hoje sempre existiu corrupção, milícias, quadrilhas etc., logo, não acha preconceituosa e incorreta a atribuição das criptomoedas à pecha de “meio” para lavagem de dinheiro? 5) quais principais formas que o “phishing” chega à empresa e com o home office isso se agravou? 6) como acha ser possível inserir os funcionários à política de proteção sem aumentar o desgaste deles ou os ônus financeiros à empresa? 7) qual o interesse ou vantagem da maioria dos funcionários, especialmente aqueles sem atribuição ou cargo de gestão ou diretoria, de melhorar as práticas se isso apenas os onerará quanto a tempo e atenção. Como eu disse, reitero, ótimo texto, parabéns novamente e fraterno abraço!

Postar um comentário