Por Felipe Berneira, CEO da Pronnus Tecnologia.
A segurança da informação é um tema cada vez mais recorrente nas organizações com o avanço da era digital. Pelo quarto ano seguido, os crimes cibernéticos foram apontados como a principal preocupação para cerca de 40% das empresas ouvidas no Barômetro de Riscos da Allianz, realizado pelo grupo Allianz de seguros, com 3.778 gestores de risco em 106 países, incluindo o Brasil.
A evolução tecnológica trouxe consigo as chamadas ameaças cibernéticas, que buscam as vulnerabilidades internas das empresas e organizações para obter ganhos ilícitos. Para enfrentar esse tipo de ameaça, uma das principais armas é a implementação de um programa de conscientização em segurança da informação, que vai servir para ajudar a proteger dados, preservar a reputação e garantir a conformidade regulatória.
Um programa com essa finalidade consiste em um conjunto de treinamentos, campanhas educativas e diretrizes voltadas para capacitar colaboradores a identificar, prevenir e reagir a ameaças cibernéticas e vulnerabilidades. Ele visa transformar a cultura organizacional, tornando a segurança uma responsabilidade compartilhada por todos os funcionários, independentemente de seu cargo ou setor.
A maioria dos incidentes de segurança acontece devido a erros humanos, como cliques em links maliciosos, compartilhamento inadequado de credenciais ou o uso de senhas fracas. De acordo com o relatório Global Cybersecurity Outlook 2024 do Fórum Econômico Mundial, 95% das falhas em cibersegurança são atribuídas a esse fator. Um programa de conscientização eficiente minimiza esses riscos ao educar os colaboradores sobre boas práticas, tornando-os a primeira linha de defesa contra ameaças digitais.
Além disso, a segurança da informação é um requisito regulatório em diversos segmentos, como a LGPD (Lei Geral de Proteção de Dados) e a GDPR (General Data Protection Regulation), que exigem que empresas adotem medidas de proteção para evitar vazamentos e acessos não autorizados.
Um programa de conscientização ajuda a mitigar ameaças como:
- Phishing e engenharia social;
- Uso inadequado de dispositivos e senhas fracas ou reutilizadas;
- Acessos não autorizados;
- Malwares e ransomware;
- Compartilhamento indevido de informação;
Isso tudo reflete na redução de incidentes de segurança e consequentes prejuízos financeiros; no aumento da confiança de clientes e parceiros, que valorizam a segurança das informações compartilhadas; na maior conformidade com regulamentações e leis de proteção de dados; e na criação de uma cultura organizacional mais responsável e consciente.
Por onde começar?
Para iniciar um programa de conscientização, as empresas podem seguir os seguintes passos:
- Mapeamento de riscos: identificar vulnerabilidades específicas do ambiente empresarial;
- Engajamento da liderança: garantir que gestores e executivos apoiem e participem do programa;
- Treinamentos regulares: promover workshops, palestras e cursos sobre boas práticas de segurança;
- Simulação de ataques: testes como simulação de phishing ajudam a reforçar a aprendizagem;
- Políticas e diretrizes claras: criar normas e guias de segurança acessíveis para todos;
- Monitoramento e melhoria contínua: avaliar constantemente a eficácia das ações e ajustar conforme necessário.
A responsabilidade pela segurança cibernética vai além da equipe de TI, mas passa por cada colaborador. No entanto, para que isso aconteça é necessário educar, engajar e preparar o grupo como um todo, para que cada pessoa seja uma peça-chave na construção da resiliência cibernética da empresa ou do órgão.
