Vazamentos de dados e motivação dos funcionários

Views: 614
0 0
Read Time:4 Minute, 27 Second

Quais as consequências que os vazamentos de dados têm para os funcionários? Para responder a essa pergunta, começamos explorando as causas da maioria desses incidentes, que, na minha experiência, estão frequentemente enraizados em desleixo, irresponsabilidade dos funcionários ou gestão ineficaz. Em outras palavras, não importa como você olha para ele, o fator humano está no centro do problema.

Quando os funcionários não assumem a responsabilidade

Tente perguntar aos funcionários sobre quais mudanças em seu fluxo de trabalho os ajudariam a melhorar sua produtividade e nível de satisfação no trabalho. As pessoas geralmente querem trabalhar da maneira que lhes convém, sem interferência. Por exemplo, eles querem ter direitos de administrador em seu computador, ter o direito de instalar qualquer software, para conceder acesso aos dados e sistemas de sua equipe a seu próprio critério. Eles querem convidar convidados para o escritório. Esse tipo de coisa.

Ao mesmo tempo, quase ninguém está realmente preparado para assumir a responsabilidade pelo que quer ou achar conveniente. Muitos funcionários (e às vezes seus gerentes) são complacentes e acreditam que estão de alguma forma protegidos, que não importa o que façam, alguns magos estão esperando para salvar o dia. Claro, nós, especialistas em cibersegurança corporativa, sempre fazemos o nosso melhor para proteger os usuários, mas não somos onipotentes.

Más decisões de gestão

A segunda causa dos incidentes mais graves é, em linhas gerais, uma gestão ineficaz de processos de negócios, que também engloba as ações ou inação da segurança da informação e do pessoal de TI. Uma empresa que é séria sobre segurança cibernética não sofre grandes danos porque um funcionário insere uma unidade flash USB com um arquivo infectado ou abre um e-mail com um anexo malicioso ou URL ruim. Em todos os casos, uma cadeia de erros deve ocorrer na combinação certa:

  • O processo de negócios foi organizado de forma a permitir esse tipo de erro;
  • Alguém cometeu um erro ou violou políticas de segurança da informação;
  • Os sistemas de informação ou serviços de infra-estrutura continham vulnerabilidades não detectadas ou não corrigidas;
  • Os sistemas eram muito complexos, causando a falta de recursos necessários para garantir a configuração segura, o gerenciamento de patches oportuno e a implementação de medidas de segurança.
  • O departamento de segurança não conseguiu (por falta de habilidades ou oportunidade) identificar o incidente antes que causasse danos.

Cada um desses fatores é consequência de uma decisão. No entanto, a causa geral do incidente é uma combinação dos fatores. Como o incidente afeta a motivação dos funcionários depende em grande parte da resposta da administração — e às vezes as medidas que uma empresa adota para evitar a recorrência de tais incidentes podem causar muito mais danos do que o incidente em si.

Aqui está um exemplo do mundo real. Um banco experimentou repetidamente incidentes resultantes de ataques externos e erros de funcionários. Como resultado, os sistemas do banco caíram por algum tempo. A gestão, tentando motivar a equipe responsável, bem como punir os culpados, passou por várias rodadas de demissão de sua equipe de TI e infosec. Ao mesmo tempo, apesar de saber que o sistema bancário automatizado tinha vulnerabilidades arquitetônicas, a gestão não alocava orçamento para criar um novo sistema ou para corrigir o antigo. Funcionários experientes perceberam que qualquer um poderia cometer um erro um dia, e a empresa optou por contratar novas pessoas em vez de corrigir o problema subjacente, então eles logo encontraram empregos em outro lugar. Os novos colaboradores tinham uma compreensão ruim do sistema da empresa, que havia sido desenvolvido em casa, e como resultado cometeram ainda mais erros e passaram mais tempo mantendo os sistemas por falta de conhecimento essencial. Consequentemente, os clientes deixaram o banco, e ele caiu de sua posição no top 50 para abaixo do 200º lugar.

O que fazer

Na minha opinião, é importante não desmotivar seus empregados. Em vez disso, ajudá-los a entender suas responsabilidades, os valores da empresa e a importância das contribuições de seus colegas de trabalho. Você pode demonstrar todas essas coisas através de apoio material, respeito mútuo e regras claras.

As regras da infosec corporativa precisam explicar de forma simples e específica o que é e não é permitido, e o que a equipe precisa fazer em caso de incidente cibernético – inclusive em termos de privacidade e confidencialidade. O líder da equipe deve comunicar claramente informações aos subordinados, e durante e após um incidente cibernético explicar o problema e suas consequências (que podem incluir penalidades). Fazer isso ajuda a manter um ambiente de equipe saudável, e pode ajudar a empresa a evitar repetir os mesmos erros.

Você pode usar este mapa da infosec para se concentrar na motivação da equipe e na redução do impacto cibernético:

  • Realizar treinamento de pessoal não só para evitar erros, mas também para ensinar às pessoas o que pode ser um erro;
  • Motivar os funcionários;
  • Criar regras claras de segurança da informação na empresa — e medidas para monitorá-las em ação;
  • Use ferramentas de detecção e resposta a incidentes;
  • Implementar sistemas para proteger contra erros, comportamento tolo ou desleixado, e as ações maliciosas de insiders
  • Revise periodicamente as medidas acima para reduzir a probabilidade de alguém cometer o mesmo erro duas vezes.

Para obter mais informações sobre o lado humano dos incidentes de cibersegurança, confira nosso último relatório”Cuidando da segurança corporativa e privacidade dos funcionários.”

FONTE: KASPERSKY

POSTS RELACIONADOS