Com a vigência recente da Lei Geral de Proteção de Dados e o aumento de tentativas de ataques cibernéticos, empresas de diferentes segmentos intensificam medidas de segurança da informação.
Para Denis Riviello, head de cibersegurança da Compugraf, provedora de soluções de segurança da informação e privacidade de dados, é fundamental que, além de implementar ferramentas de defesa, as organizações engajem a equipe na aplicação das diretrizes. "Precisa trazer exemplos do cotidiano para que vejam relevância."
Todas as medidas ajudam: vídeos educativos, palestras, questionários, jogos. Uma prática comum é fazer games que promovam a conscientização.
A estratégia é utilizada pela Unimed do Brasil. Com gancho nos Jogos Olímpicos de Tóquio, a operadora de planos de saúde promove a Olimpíada da Segurança da Informação, dinâmica em que funcionários cumprem desafios, recebem medalhas em uma plataforma virtual e concorrem a brindes de acordo com a classificação obtida.
Na TIM, um dos recursos adotados é a websérie CSI (Cuidando da Segurança da Informação). Segundo Claudio Creo, diretor de segurança de informação da empresa, o elenco é composto pelos colaboradores da equipe de cibersegurança. Por meio de avatares personalizados, eles interagem com os colegas para explicar o trabalho desenvolvido no setor e prevenir perigos no ambiente digital.
Outra ação tomada pelas corporações para identificar e corrigir lacunas é a simulação de phishing. O ensaio consiste em enviar emails com ofertas atrativas aos funcionários para que, a partir disso, aqueles que caíram no "golpe" sejam levados ao treinamento.
"O mais comum aqui é alguém mandando a tabela salarial, porque gera a curiosidade de todo mundo", conta Renato Blanco, head de tecnologia da informação da Cogna, grupo privado de educação. Ao clicar no link, o colaborador é notificado de que a mensagem faz parte do programa de phishing e é direcionado à universidade corporativa para um treinamento de segurança da informação.
Na Unimed, há simulações de "vishing", golpe semelhante ao phishing, mas aplicado em ligações telefônicas.
Com boas ferramentas de proteção do sistema e com a equipe engajada nos cuidados com a cibersegurança, é possível flexibilizar restrições de navegação impostas à equipe. Implementada desde 2019, a diretriz de segurança da informação da Cogna prioriza o monitoramento de tentativas de invasão, o investimento em recursos de defesa e o treinamento de funcionários, sem barreiras para o uso de email pessoal.
"Quanto mais restritivo for, mais o usuário vai buscar brechas para conciliar vida pessoal e profissional. Uma política mais permissiva, mas com controle e verificação adequados, facilita o trabalho, não engessa a empresa e protege muito mais", afirma Riviello.
Para o especialista, a conscientização sobre cibersegurança deve fazer parte da rotina das organizações: "Sempre vão surgir novidades, novas formas de colocar o ambiente em vulnerabilidade. É um assunto cíclico, que precisa ser recorrente".
Segundo Riviello, com a Lei Geral de Proteção de Dados, aumentou a atenção das empresas com a segurança da informação. Neste ano, a Cogna contratou um DPO (Data Protection Officer), profissional para cuidar exclusivamente da preservação de dados, questão antes tratada pelo setor de tecnologia da informação.
Determinar diretrizes, acompanhá-las e responder eventuais sanções legais de acionamento de violação de dados são algumas das responsabilidades do DPO.
Riviello ressalta que as medidas de conscientização devem atingir os gestores. "Segurança é como uma corrente e o elo mais fraco sempre é aquele que está menos protegido. Todos os elos têm que ter a mesma resistência."
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.