Relatório: Nenhuma organização recebeu pontuação ‘excelente’ de cultura de segurança

Views: 580
0 0
Read Time:7 Minute, 16 Second

A cultura de segurança é importante para os executivos, mas esses indivíduos estão lutando para implementá-la. Em um estudo de novembro de 2019 encomendado pela KnowBe4, 94% dos indivíduos com funções gerenciais ou superiores em segurança ou gestão de riscos disseram que a cultura de segurança era importante para o sucesso de sua organização. Mesmo assim, a Security Magazine compartilhou que 92% dos entrevistados ainda estavam enfrentando incidentes de segurança e trabalhando na integração de suas estratégias de segurança com suas estratégias de negócios, apesar de terem incorporado a cultura de segurança em suas organizações.

Esses achados levantam várias questões. É possível que as organizações avaliem a eficácia de suas culturas de segurança? Se assim for, existem tendências maiores que poderiam ajudar organizações em diferentes setores a fortalecer suas culturas de segurança?

As Múltiplas Dimensões de uma Cultura de Segurança

O KnowBe4 chegou a uma resposta em seu relatório, “Measure to Improve – Security Culture Report 2020“. Neste estudo, o provedor de treinamento de conscientização de segurança coletou dados de 120.050 funcionários que trabalham em 1.107 organizações espalhadas por 24 países e 17 setores da indústria. Fez isso com o objetivo de desenvolver um método científico objetivo para avaliar e comparar os componentes relativos da cultura de segurança de uma organização.

Para esta tarefa, o KnowBe4 dividiu sua análise em sete componentes diferentes:

  • Atitudes: Como os colaboradores se sentem em relação aos protocolos e problemas de segurança da organização.
  • Comportamentos: Atividades e ações dos colaboradores que afetam a segurança de uma organização.
  • Cognição: O conhecimento que os colaboradores têm de questões e atividades de segurança.
  • Comunicação: Os tipos de canais que a força de trabalho pode usar para discutir e compartilhar suporte para questões relacionadas à segurança.
  • Compliance: A consciência que os colaboradores têm das políticas de segurança de sua organização e como as seguem.
  • Normas: Até que ponto os funcionários são conhecedores e aderem aos códigos de conduta de segurança não escritos da organização.
  • Responsabilidades: Como os funcionários veem seu papel em apoiar ou minar a segurança de sua organização.

A partir daí, o KnowBe4 usou um algoritmo estatístico proprietário para calcular a força de cada dimensão em uma escala de 0-100. Essas pontuações caíram nas seguintes classificações: Excelente (90-100), Bom (80-89), Moderado (60-79), Pobre a moderado (50-59), Ruim (30-49) e Extremamente ruim (0-29). Usando essas pontuações, a empresa foi capaz de comparar os pontos fortes e fracos das culturas de segurança das organizações em diferentes setores.

A pequena lacuna que separa artistas fortes e pobres

No geral, o KnowBe4 descobriu que os melhores artistas e os artistas pobres não estavam tão distantes. Os Serviços Bancários e Financeiros foram os dois setores que tiveram as culturas médias de segurança mais fortes, com uma pontuação de 76. Eles foram seguidos de perto por Seguros e Tecnologia em ambos os 75. O provedor de treinamento de conscientização de segurança argumentou que essas indústrias se saíram bem por causa das regulamentações com as quais já devem cumprir para gerenciar riscos financeiros e de segurança.

Na outra ponta do espectro, a indústria da Educação recebeu a menor pontuação de 68. Um olhar atento a este setor revelou ao KnowBe4 que as organizações de Educação ainda estavam em processo de aceitação de sua exposição a ameaças digitais. A empresa observou que o surto de coronavírus 2019 (COVID-19) teve um impacto significativo na Educação. Como resultado, argumentou que as organizações do setor poderiam melhorar suas culturas de segurança até 2021.

Transporte e Energia e Utilidades não foram muito melhores aos 70 e 71 anos, respectivamente. Em relação ao primeiro, as organizações de Transporte enfrentaram desafios à medida que avançavam sua transformação digital, trazendo novos dispositivos para seus ambientes. Kai Roer, diretor administrativo da CLTRe AS – uma Empresa KnowBe4, observou que o COVID-19 também teve um efeito:

O transporte de mercadorias tem demonstrado sua importância nestes tempos de Covid. A abruptação dos serviços de entrega levou à quebra das distribuições de alimentos, bem como a interrupções na produção para outras indústrias. Devido à sua criticidade nas sociedades interconectares de hoje, o setor de Transportes realmente precisa melhorar seu jogo sobre segurança. Se não, corremos o risco de que os hackers comecem a direcionar operações logísticas e derrubem empresas, indústrias e, potencialmente, países.

Reconhecendo esses desafios, a KnowBe4 recomendou que as organizações de transporte trabalhem com seus funcionários para garantir que estejam cientes das políticas de segurança relevantes. Também aconselhou que eles incentivem atividades relacionadas à segurança, incluindo programas de treinamento e educação.

O setor de Energia e Utilidades encontrou-se em um lugar diferente do setor de Transportes no momento do estudo. Várias organizações federais e sem fins lucrativos defenderam a missão de trabalhar com o setor para fornecer às organizações treinamento de segurança,detecção de riscos e ferramentas de prevenção de ameaças para a defesa contra estados-nação e criminosos digitais. Mas essas medidas não ajudaram a Energia e Serviços Públicos como um todo a ganhar uma pontuação superior a 71.

Roer ficou um pouco perplexo com esta descoberta:

O setor de Energia é frequentemente considerado infraestrutura crítica e, como tal, seria de esperar que a segurança em geral fosse muito boa. Nossa pesquisa mostra que as expectativas não são correspondidas à realidade. Deve-se perguntar por que é para que um setor como o setor de energia esteja tendo um desempenho tão ruim na cultura de segurança. Eles estão esquecendo o elemento humano da segurança? Eles acham que engenharia social não é um problema para eles?

Um olhar mais atento revelou que o setor recebeu um desempenho moderado na dimensão Normas com uma pontuação de 68. Em resposta, o KnowBe4 recomendou que as organizações invistam em seus programas contínuos de treinamento de conscientização sobre segurança. Tal educação também ajudaria as organizações de Energia e Utilidades na dimensão Cognição, que era de apenas 66 para este setor.

Dentro das lutas de outros setores com a cultura da segurança

Educação, Transporte e Energia e Serviços Públicos não foram os únicos setores em que as organizações lutaram com suas culturas de segurança. Governo e Manufatura também passaram por alguns desafios. As organizações do setor governamental não eram novas para a necessidade de gerenciar riscos em uma infraestrutura cada vez mais complexa no momento do estudo. Mesmo assim, essa experiência não elevou a classificação média de cultura de segurança do setor acima de 71.

Roer explicou que as organizações podem melhorar suas pontuações focando em seu povo:

Os governos são encarregados de um grande número de obrigações – desde a gestão de infraestruturas críticas, à proteção do país contra ameaças externas (e internas…), à melhoria da educação e da cultura da população. Uma variedade tão grande de tarefas resultará em muita variação em suas necessidades e práticas de segurança. Embora vejamos a variação sendo documentada pelos escores da cultura de segurança em todo o setor, estamos surpresos em ver a pontuação geralmente baixa para o setor como um todo. É hora do setor governamental intensificar seu jogo na luta contra a engenharia social e na construção de firewalls humanos fortes.

Enquanto isso, a manufatura recebeu exatamente a mesma pontuação de cultura de segurança que o governo. Mas enfrentou diferentes desafios de segurança. Em particular, muitas organizações do setor estavam trabalhando para modificar e globalizar suas cadeias de suprimentos como parte de suas transformações digitais. Essa tarefa envolveu a adição de maior conectividade às plataformas de fabricação.

“Este setor não está se saindo bem quando se trata de cultura de segurança”, afirmou Roer. “As propriedades intelectuais são um alvo valioso para os bandidos, e a melhor maneira de combater os criminosos é aumentando o jogo sobre proteção da engenharia social e construindo fortes fatores humanos. Há áreas importantes para melhorias: o fortalecimento das Normas ajudará a construir melhores comportamentos e, assim, ajudar a proteger o setor.”

Em particular, Roer recomendou que as organizações de manufatura se concentrem em cultivar a conscientização sobre ameaças dentro da organização, bem como investir em treinamento contínuo para os funcionários.

A Tomada Central

Essas descobertas revelam que todas as indústrias mantiveram uma classificação moderada para suas culturas de segurança. No nível da organização, 92% das organizações analisadas receberam pontuação moderada; os 7% restantes ganharam uma boa pontuação. Essas descobertas indicam que as organizações investiram pelo menos um pouco em suas culturas de segurança. Mas na ausência de uma única pontuação excelente, eles também revelam que as organizações poderiam estar fazendo muito mais.

Construir uma cultura de segurança forte começa com a compreensão de como cada indivíduo pode usar sua posição para efetuar mudanças. Para obter uma visão melhor desse processo, baixe este guia Tripwire.

FONTE: TRIPWIRE

POSTS RELACIONADOS