LAB GSTI 2.0: Cultura de Segurança 360º
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Esta semana decorreu a conferência CISO Europe, um evento que colocou responsáveis pela segurança da informação nas Organizações a discutir os principais desafios e tendências neste domínio. De todos os temas discutidos, destaco a preocupação transversal em se conseguirem encontrar melhores estratégias para melhorar a consciência para a importância da proteção da confidencialidade, integridade e disponibilidade da Informação. Hoje vou falar de cultura de segurança 360º .
As redes de partilha de conhecimento temático são cada vez mais importantes para a melhoria das competências dos profissionais e das Organizações. Esta semana tive o privilégio de ser convidado a participar na conferência “CISO Europe 2013” [1], onde dezenas de profissionais de segurança de todo o mundo discutiram os principais desafios e tendências da função de CISO (Chief Information Security Officer). Tal como acontece com o PortalGSTI, este tipo de iniciativas permite um maior foco temático, tornando a discussão mais centrada na procura de soluções, mas sobretudo permite a profissionais oriundos de diferentes locais do planeta e de Organizações tão diversas, entenderem que não estão sozinhos nas suas “lutas” e que não são os únicos a enfrentarem desafios que muitas vezes parecem impossíveis de resolver.
Um exemplo desta globalidade no que refere aos desafios da #Segurança da Informação foi o tema da Cultura de Segurança da Informação nas organizações . Grandes ou pequenas organizações, locais ou globais, de indústrias mais ou menos sofisticadas, todos manifestaram as dificuldades existentes na promoção de uma cultura corporativa que permita às organizações adaptarem-se aos riscos emergentes relacionados com os sistemas de informação .
Como melhorar a consciência para a importância da segurança da informação, reduzindo as vulnerabilidades do recurso mais crítico das Organizações, o Recurso Humano?
O que pode ser feito que ainda não foi feito no que refere a campanhas de informação e consciencialização?
Já no modelo BMIS [2] (Business Model for Information Security) lançado pela ISACA, o tema da “Cultura de Segurança” tinha ganho destaque, sendo posicionado como a “tensão” existente entre a visão de segurança da Organização e a visão de Segurança dos seus colaboradores. Com o lançamento da framework COBIT 5 [3] a Cultura, Ética e Comportamentos mantém-se como um tema fundamental na framework , sendo destacado como um dos 7 facilitadores no contexto de um sistema de informação.
Para entender o facilitador “ Cultura, Ética e Comportamentos” é necessário entender que a cultura de uma organização decorre da relação existente entre:
- A ética da Organização – Os valores de segurança pelos quais a Organização se pretende guiar;
- A Ética individual – Os pressupostos e preconceitos individuais sobre a segurança da informação, sobretudo influenciados por fatores externos; e
- Comportamentos Individuais – Os comportamentos individuais que constituem a Cultura de Segurança de uma Organização e que resulta da ética Organizacional e Individual.
Foi com base no entendimento deste facilitador que destaquei a importância de lançamento de campanhas para a promoção de uma “Cultura de segurança 360º” .
Muitas das campanhas de segurança são realizadas com um principal enfoque na ética da Organização, pressionando muitas das vezes os colaboradores a adotarem boas práticas de segurança sem sequer as entenderem. Focar as campanhas na ética individual poderá ser uma forma mais efetiva de promover a consciencialização para a segurança, promovendo as boas práticas não só dentro como fora das suas Organizações.
Veja-se como exemplo as campanhas de divulgação das boas práticas para a utilização de palavras-passe complexas nos sistemas críticos da Organização. O que está em causa não é de facto a complexidade (muitas vezes irritante) da palavra-passe, mas sobretudo a sensibilização para o valor de informação crítica e os riscos (ameaças) que lhes estão associados. É por isso que ao invés de se insistir nos alertas para que a palavra-passe do sistema da contabilidade seja alterada a casa 30 dias, que tal fazer uma campanha para que os colaboradores utilizem palavras-passe robustas para protegerem as suas contas de Facebook? Ao invés de explicar a complexidade da classificação da informação empresarial, que tal explicar porque deverão os colaboradores evitar que os seus familiares ou amigos partilhem fotos demasiado privadas no Instagram?
Num dos exercícios realizados durante a conferência, uma das minhas sugestões foi relacionada com a realização de “Campos de férias sobre Segurança” , onde os familiares mais novos dos colaboradores passariam bons momentos a brincar e a aprender sobre segurança da informação, cabendo-lhes no final a responsabilidade de explicarem aos seus familiares, de forma simples e prática, o porquê da necessidade de melhorem as práticas de segurança da informação no trabalho e em casa. Em vez de se tentar explicar segurança aos colaboradores como se eles fossem crianças, que tal pedir mesmo a crianças para lhes falar de segurança?
Com este tipo de soluções inovadoras, os comportamentos individuais serão condicionados não apenas por fatores internos e prescritivos da Organização mas também por uma consciencialização individual alargada para os temas de segurança envolvidos.
Conclusão
Se de facto a segurança da informação é hoje um fator crítico de sucesso, quer seja pela criação de valor ou simplesmente pela conformidade legal ou normativa, então as Organizações deverão “sair da caixa” e inovar na comunicação.
Pedir aos colaboradores para assinarem anualmente dezenas de páginas de declarações de privacidade, obrigá-los a assistir a formações corporativas sobre a importância da proteção dos relatórios do conselho de administração ou simplesmente proibir e bloquear acessos a conteúdos “menos católicos” têm-se demonstrado pouco ineficazes, criando quase uma capa nos colaboradores que desativa a atenção e interesse para os temas da segurança da informação.
Tal como a prevenção rodoviária, a educação e formação têm um papel determinante no sucesso da redução da exposição aos riscos de segurança da informação, sobretudo se forem encaradas com uma perspetiva de 360º, considerando o colaborador na sua dimensão empresarial, mas sobretudo na sua dimensão pessoal de familiar, amigo, etc.
Cumprimentos desde Portugal… estamos juntos!
[1] Conferência promovida pelo MIS Training Institute - http://www.ciso-summit.com/europe/home1
[2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx
[3] http://www.isaca.org/COBIT/Pages/default.aspx