This post is also available in: Português Español
Por si só, algumas estatísticas seriam suficientes para convencer gestores a fazer o treinamento de conscientização de segurança (tradução do termo inglês “security awareness“) com seus colaboradores. Uma das mais impactantes diz respeito ao fato de que 82% das violações de segurança envolvem fatores humanos, ou seja, derivam de erros das pessoas que estão no dia a dia das empresas.
Entretanto, as mesmas estimativas mostram que apenas 1 em cada 9 negócios (11%) forneceu treinamento de segurança cibernética – ou um programa de conscientização de segurança – para funcionários. Portanto, parece que muitos ainda precisam ser convencidos sobre os benefícios que esse treinamento oferece à segurança da informação. Selecionamos então 7 razões que reforçam sua importância:
1. Evitar violação de dados e o sucesso de ataques de phishing
Sempre bom reforçar: o treinamento de conscientização de segurança da informação ajuda a evitar violações. Entretanto, é difícil quantificar exatamente o número de ataques que evita um programa de treinamento do tipo.
Contudo, é possível demonstrar o retorno do investimento (ROI). Basta comparar o número de incidentes que surgem antes e depois das atividades. As métricas resultantes podem ser usadas para obter uma indicação de ROI.
Cálculos assim não são necessários para mostrar que as violações de dados podem custar milhões de reais, enquanto o treinamento de conscientização de segurança é relativamente barato. Assim, não é preciso fazer muitos treinamentos para obter retornos consideráveis, já que o conhecimento costuma ser absorvidos de maneira rápida.
2. Construir uma cultura de segurança
Eis o grande sonho de muitos diretores de segurança da informação (CISOs). Assim, com a ajuda do treinamento de conscientização de segurança, mais empresas estão conseguindo chegar nesse patamar.
Criar a tal cultura de segurança significa incorporar valores de segurança na estrutura do negócio. O treinamento abrange a consciência situacional, além de trazer benefícios ao trabalho e na vida pessoal, sendo uma boa maneira de engajar os funcionários.
Plataformas avançadas de treinamento podem inclusive ajudar a monitorar e desenvolver uma cultura de segurança, fazendo das pessoas a primeira linha de defesa contra ataques de engenharia social, por exemplo.
3. Tornar as barreiras mais fortes
As defesas tecnológicas são uma arma valiosa na prevenção de violações. Contudo, demandam a atuação intensa das pessoas envolvidas.
Os firewalls, por exemplo, precisam ser ativados; os avisos de segurança precisam ser reconhecidos, e os softwares precisam ser atualizados. Ações do tipo requerem seres humanos em ação.
Poucas empresas hoje pensam em operar sem defesas tecnológicas. No entanto, sem treinamento de conscientização de segurança e educação em segurança cibernética, as proteções dificilmente vão atingir todo o seu potencial.
Os invasores hoje raramente se preocupam em tentar atacar empresas apenas por meios tecnológicos. Eles geralmente têm como alvo as pessoas, pois são vistas como uma maneira relativamente fácil de entrar em redes protegidas. Afinal, costumam ser mais propensas a falhas do que os sistemas.
4. Para dar confiança aos seus clientes
Os consumidores estão cada vez mais conscientes das ameaças cibernéticas. E, como clientes, querem se sentir minimamente imunes a problemas do tipo.
Isso significa que uma empresa que toma medidas para melhorar a segurança cibernética gerará mais confiança por parte do consumidor. E sabe-se que uma empresa confiável inspira mais fidelidade do cliente, que se sente mais tranquilo em voltar a comprar.
Porém, uma pesquisa da Arcserve mostra que 70% dos consumidores acreditam que as empresas não estão fazendo o suficiente para garantir a segurança cibernética. E dois em cada três deles afirmaram que evitariam fazer negócios com uma marca que sofreu um ataque cibernético nos últimos meses.
Por exemplo, segurança de endpoint comprometida, ataques de phishing, engenharia social e violação de dados são incidentes de segurança comuns que podem ligar alertas na mente do consumidor.
Cada vez mais os clientes prestam atenção na segurança – apesar de isso ainda não estar em percentuais mais positivos. Assim, quando se introduz o treinamento de conscientização de segurança, os clientes tendem a ver a empresa como mais responsável, o que acaba beneficiando os negócios.
5. Conformidade
Não é algo que, por si só, seja motivo para aderir ao treinamento de conscientização de segurança. Afinal, quem fizer isso apenas para cumprir os regulamentos provavelmente estará fazendo somente o mínimo possível – o que tende a ser um prato cheio para cibercriminosos.
Ainda assim, mais e mais reguladores estão exigindo que setores específicos implementem treinamento de conscientização de segurança. Empresas de todos os tamanhos precisam desenvolver uma cultura de segurança desde a diretoria até os funcionários de base. A segurança cibernética é uma responsabilidade compartilhada, onde se adota uma abordagem cooperativa para lidar com essas ameaças.
A conformidade, então, deve ser um subproduto positivo do treinamento de conscientização de segurança. A introdução do conteúdo de treinamento torna a empresa mais segura e, em muitos setores, atende aos requisitos regulamentares.
6. Responsabilidade social
Como os malwares WannaCry e o NotPetya demonstraram, os ataques cibernéticos podem se espalhar rapidamente. Quanto mais redes forem infectadas, maior será o risco a outras redes. E a fraqueza de uma rede aumenta a ameaça geral para outras.
Isso significa que a ausência de treinamento de conscientização de segurança em uma organização torna outras vulneráveis. Seria como deixar a porta de casa destrancada e com as chaves da casa do vizinho lá dentro.
Assim, esse treinamento não beneficia apenas a própria empresa, pois acaba se estendendo a clientes, fornecedores e todos os outros interligados à rede.
7. Para melhorar o bem-estar dos funcionários
É um fato que pessoas felizes são mais produtivas. Portanto, vale lembrar que o treinamento de conscientização de segurança não mantém apenas as pessoas seguras enquanto estão no trabalho. Também os deixa protegidos contra ameaças de segurança cibernética em sua vida pessoal.
Basta lembrar-se que o treinamento de conscientização sobre segurança cibernética faz o que deveria ser feito na prevenção de ameaças. Assim, não é apenas um benefício para o empregador. É um benefício para os funcionários também.
This post is also available in: Português Español