Você está na página 1de 10

CULTURA DE

SEGURANÇA
DA INFORMAÇÃO
COMO CRIAR
Uma política de segurança da informação de TI ou SI, e nem só para conhecimentos
sólida é um excelente primeiro passo para técnicos.
uma empresa com dados mais seguros,
mas por si só não é suficiente. Não basta Usuários bem treinados, conscientizados e

UMA CULTURA DE
que as regras do jogo existam; para jogar preparados para lidar com as ameaças com
bem, um time deve conhecê-las profunda- as quais se deparam todos os dias – sejam
mente, quase instintivamente. Para atingir elas cibernéticas ou de engenharia social
esse ponto ideal, você precisa saber como – são a verdadeira chave para uma manter
criar uma cultura de segurança na sua em- os dados da sua empresa seguros. Em seu

SEGURANÇA
presa. best-seller “A Arte de Enganar”, Kevin Mitni-
ck, conhecido como o hacker mais famoso
Isso por que Segurança da Informação não do mundo, diz que o fator humano é sempre
se baseia apenas em processos, tecno- o elo mais fraco de um plano de segurança
logias, e proteção digital ou estrutural. As da informação, e por isso mesmo é o que

NA SUA EMPRESA
pessoas envolvidas na sua operação e no mais merece atenção: quando seus colabo-
seu negócio são essenciais para manter as radores são devidamente capacitados para
informações da sua empresa mais seguras, lidar com informação de maneira segura,
e isso não é restrito apenas para a equipe sua operação estará bem mais segura.
QUAL A DIFERENÇA ENTRE
CULTURA E POLÍTICA DE
SEGURANÇA DA INFORMAÇÃO
Uma das formas de se conceituar cultura é Já política pode ser definida como um con-
a que o antropólogo Roberto da Matta resu- junto de regras que orientam ações e com-
miu no seu texto “Você tem cultura?”: portamentos em prol de um objetivo.

“No sentido antropológico (...) a cultura é um Um exemplo é a política de ética de uma


conjunto de regras que nos diz como o mun- empresa: elenca as orientações sobre como
do pode e deve ser classificado. (...) A ma- cada um dentro da empresa deve e não deve
neira de viver total de um grupo, sociedade, agir em situações que envolvam questões
país ou pessoa. Cultura é, em Antropologia éticas, em prol de um ambiente de trabalho
Social e Sociologia, um mapa, um receituário, mais – isso mesmo – ético.
um código através do qual as pessoas de um
dado grupo pensam, classificam, estudam e Uma Política de Segurança da Informação
modificam o mundo e a si mesmas.” (PSI) não é tão diferente, consiste em uma
série de diretrizes organizacionais que
Na mesma linha, uma Cultura de Segurança orientam o plano de proteção dos ativos
é o mindset atingido pelo hábito diário de de informação da empresa; ou seja, institui
comportamento orientado para segurança. como cada um deve ou não deve agir em
Quando uma Cultura de Segurança é estabe- prol da proteção dos dados e informações
lecida, as pessoas passam a se comportar relevantes ao negócio.
em conforme com as políticas e boas práti-
cas e, muitas vezes, isso pode ser refletido Com isso, a PSI delimita padrões de com-
também para a vida pessoal, fora do am- portamento relacionados à Segurança da
biente de trabalho. Informação, que pode envolver desde insta-
lação e manutenção equipamentos, restri-

uma cultura de seguran-


ções de acesso, monitoramento e controle,
dentre outros cuidados imprescindíveis aos
ça sólida é o ponto ideal processos do negócio em questão.

de comportamento de Uma boa PSI é feita sob medida para as ne-


cessidades de cada negócio, devendo orien-
segurança que pode ser tar colaboradores, clientes e fornecedores
atingido na sua empresa. sobre as melhores práticas de segurança da
informação relacionadas às suas interações
com o negócio.
Alguns exemplos de diretrizes presentes em uma PSI são:

Mantenha sua mesa sempre limpa, sem documentos, mídias


removíveis ou qualquer tipo de informações sensíveis à
mostra quando estiver ausente de sua estação de trabalho;

Sempre bloqueie sua máquina ao se ausentar por qualquer


período de tempo ou motivo seja para ir ao banheiro, falar com
alguém em outro setor, ou ir almoçar. Isso impede que qual-
quer um use suas credenciais indevidamente.

Não leve documentos e informações sensíveis da


empresa para casa. Não há como garantir o mesmo
nível de segurança das informações que há na em-
presa durante o trajeto ou em sua residência.

Assim, pode-se entender que a Política é a base formal orientadora, e a cultura é a consolida-
ção prática dessas bases formais nos hábitos do dia a dia de forma quase natural e automáti-
ca. É como se a política fosse a regra; e a cultura, o costume.

Por isso, a pergunta de ouro aqui é: como transformar uma regra em um costume? Como criar
uma cultura de segurança na sua empresa?

A resposta é tão simples quanto é trabalhosa: mudança de hábitos.

Criar hábitos é uma das coisas mais difíceis que podemos nos propor a fazer como seres
humanos, e talvez a única outra coisa mais difícil seja substituir hábitos – ou seja, perder um
hábito ruim, e criar outro bom. Todos sabemos o quão difícil é ter hábitos saudáveis e, muitas
vezes, é ainda mais complicado por exigir que primeiro deixemos de ter práticas não saudá-
veis, como fumar, ingerir alimentos industrializados, consumir açúcar em excesso, não se
exercitar, e dormir menos que o necessário. Você pode ter todas as recomendações do seu
médico: se seus hábitos não mudarem, sua saúde não vai mudar.

Da mesma forma, você pode implementar a mais completa Política de Segurança da Informa-
ção, mas se não houver uma mudança de hábitos entre as pessoas, jamais atingirá uma Cul-
tura de Segurança da Informação e suas políticas serão válidas e eficientes apenas no papel.
VOCÊ PRECISA TER AS DUAS
Como demonstramos, tanto uma Política Ao mesmo tempo, as ações são necessárias ‘só’ clicando em um link ‘inofensivo’ de uma cada cultura contenha um conjunto finito de
quanto uma Cultura de Segurança da Infor- para concretizar o objetivo ao qual as ins- promoção suspeita. É por essa razão que regras, suas possibilidades de atualização,
mação são imprescindíveis para diminuir as truções se prestam. Por isso que, por mais a política não funciona de verdade sem a expressão e reação em situações concretas,
ameaças contra a sua empresa – e quando importante que seja ter uma Política de Se- cultura e vice-versa. Além disso, elas não só são infinitas.”
elas são bem construídas e se relacionam e gurança da Informação, de nada vale se não são interdependentes, como se retroalimen-
complementam, mais eficazes serão. for cumprida corretamente; da mesma for- tam: as instruções claras orientam sobre Desta forma, pode-se também dizer que a
ma que de nada adianta saber que espinafre quais hábitos você deve adotar, e exercitá- construção e o estabelecimento de uma
Em primeiro lugar, ter instruções claras fa- é rico em ferro se você não comê-lo. -los faz o usuário aperfeiçoar as instruções Cultura de Segurança da Informação sólida
cilita o fluxo de trabalho. Se a pessoa sabe e renová-las da forma mais adequada com também contribuem para uma Política de
o que precisa fazer, ela apenas precisa acos- Contudo, ainda não é suficiente que você a experiência. Isso faz sentido inclusive do Segurança mais adequada para o contexto
tumar-se a fazer aquilo. Como falávamos de coma espinafre apenas por prescrição médi- ponto de vista antropológico, como bem da empresa. Além disso, para que seja na-
hábitos saudáveis, se você está com defici- ca. Criar hábitos que te mantenham saudá- destaca Roberto da Matta em “Você tem tural, a política precisa ser acessível e de
ência de ferro, a reposição rápida e efetiva vel e não deixem seu nível de ferro abaixar cultura?”: assimilação confortável para os usuários e
do nutriente depende de o paciente saber o deve ser seu real objetivo. Se não, toda vez colaboradores, por isso é tão importante que
que deve comer; depende das instruções do que não for cômodo, você não fará o que “É que as regras apenas indicam os limites e você realmente saiba como criar uma cul-
médico. deve fazer. Sem uma mudança de hábitos apontam os elementos e suas combinações tura de segurança na sua empresa. Apenas
concreta, você vai acabar fugindo do que foi explícitas. O seu funcionamento e, sobretu- definir as instruções não significa que vão
Instruções são a base orientadora para a prescrito e comendo uma coxinha e um cho- do, o modo pelo qual elas engendram novas estar ao alcance de todos, seja por questão
execução das ações, sem as quais estas colate a mais do que devia, ou deixando um combinações em situações concretas é algo de acesso à informação ou por uma questão
ficam sem direção, ou sequer são iniciadas. pendrive em cima da mesa na sua asência e que só a realidade pode dizer. Porque embora de linguagem.
É assim também para a criação de hábitos mais saudáveis. Para que tenhamos a
disposição e o engajamento necessários para nos alimentarmos melhor e praticar
exercícios físicos, não basta que um médico nos diga que precisamos fazer isso, mas
também por que isso é vantajoso e a melhor escolha para nós. Um programa de cons-

PROGRAMA DE cientização para criação de costume precisa ser baseado principalmente em infor-
mação, engajamento e reforço.

CONSCIENTIZAÇÃO:
COMUNICAR A POLÍTICA PRECISA SER MULTIMÍDIA E BEM COMUNICADO
PARA CONSOLIDAR A Para ser efetiva e atingir seus objetivos, a política de segurança precisa ser bem co-
municada. Não adianta que um professor cobre na prova um conteúdo que mal foi

CULTURA
dado em sala de aula, ou que até foi abordado, mas de forma confusa e não efetiva
aos alunos.

As pessoas são o elo mais fraco em um sistema de segurança, já que podem ser facil-
O objetivo da segurança que tratamos aqui é preservar as informações quanto à integrida- mente enganadas ou negligentes, e não há nenhuma tecnologia que as impeça de co-
de, confidencialidade e disponibilidade. Para isso, a Política de Segurança, ou, como men- meter deslizes. Entretanto, também podem ser suas maiores aliadas para a constru-
cionamos, o conjunto de regras que orientam ações e planos para essa proteção é o primei- ção de uma cultura de segurança sólida, desde que a comunicação clara e adequada
ro passo em um sistema de gestão de segurança da informação. das diretrizes e boas práticas de segurança seja focada em cada indivíduo de modo a
incorporá-lo verdadeiramente à estratégia de segurança do negócio.
Contudo, também já reforçamos que somente a criação da PSI não garante sua confor-
midade na prática, principalmente quando as pessoas envolvidas ainda não possuem o Por isso que uma das melhores formas de comunicar o valor de atuar em prol da se-
conhecimento ou ainda não adotaram bons hábitos para esses objetivos. Uma cultura de gurança é ensinar este conceito através de exemplos práticos, como exemplos reais
segurança, ou seja, o mindset que consiste em ter segurança em mente em cada ato e deci- de como falhas – ou sucessos – de segurança já impactaram empresas e pessoas.
são no seu dia a dia é o ideal a se alcançar para ter uma segurança da informação verdadei-
ramente sólida na sua empresa. Além disso, cada um tem um estilo e um ritmo de aprendizado e diferentes materiais
e formatos funcionam melhor com cada tipo de pessoa. Adicionalmente, cada indiví-
Dito isso, para criar uma Cultura de SI na sua empresa é necessário que a política de infor- duo tem um nível de conhecimento e familiaridade diferente com conceitos, técnicas
mação seja bem comunicada – de forma adequada e eficaz – aos usuários pertinentes. Por e ferramentas envolvidas em determinado ensinamento, e a comunicação precisa se
essa razão é que o melhor caminho é para isso é o emprego de um programa de conscienti- adequar a essas particularidades para não perder nenhum interlocutor pelo caminho
zação para segurança. – seja por falta de entendimento ou falta de desafio e interesse. Assim, um programa
de conscientização deve primeiro avaliar o contexto de maturidade da empresa e dos
Um programa de conscientização busca demonstrar ao usuário os impactos diretos que diferentes recortes de público a serem envolvidos para que possa melhor adequar o
incidentes de segurança podem ter no seu dia a dia no trabalho e fora dele, sempre comuni- conteúdo a ser comunicado às formas e métodos mais indicados à situação que se
cando de modo adequado para cada público e em diversas mídias. Dessa forma, as pesso- apresenta.
as envolvidas entenderão a importância do que é disposto na política de segurança e ela se
tornará mais próxima do usuário com fluidez e de modo reiterado. Além disso, o reforço da informação abordada em formatos diferentes pode con-
tribuir para novas reflexões e esclarecimento de questões que talvez passariam
Em resumo, a política é a base formal que configura o início do plano de gestão de prote- despercebidas. Por isso, bons programas de conscientização funcionam em ciclos e
ção; a cultura é a forma de pensar e agir que orienta a tomada de decisão do usuário, e que trilhas lógicas, e abrangem diversos meios e métodos.
configura o objetivo da política de segurança em relação ao colaborador; e um programa
de conscientização bem planejado e estruturado é o “como”– a melhor forma de comuni-
car a política para consolidar a cultura.
Esse senso de comunidade é muito importante para que haja atenção, suporte e colabora-
ção em prol do objetivo comum: um negócio mais seguro. Alguém pode ajudar ou relembrar
um colega de determinada boa prática ao identificar uma brecha ou falha, por exemplo. Um
ambiente em que todos estejam remando na mesma direção é mais propício a um avanço

TEM QUE TER ENGAJAMENTO coletivo; em contraste, um ambiente em que não há esse espírito é equivalente a ser o úni-
co de dieta quando seus amigos pedem pizza.

Como mencionamos acima, cada um tem seu ritmo e método de aprendizado mais eficien- Deslizes são comuns no processo de aprendizado – sejam eles negligentes ou falhas de
te e confortável, e por isso é fundamental compreender que solidificar uma cultura ou um comunicação. Do ponto de vista da saúde, ao seguir um plano alimentar você pode acabar
mindset não é apenas uma questão de comunicação em diferentes meios, mas também de saindo da linha e comendo algo que não devia por vontade ou comodidade, mas também
engajamento. pode ser que prepare a comida de uma certa forma inadequada, que a faça perder o pro-
pósito nutricional pretendido. Pode ser também que você simplesmente não priorize travar
O engajamento é fundamental para criar um ambiente e uma comunidade na qual a nova sua máquina ao se levantar de sua estação de trabalho – o que caracteriza negligência –,
forma de pensar e agir possa criar raízes e crescer. É muito difícil que uma criança tenha ou que faça um procedimento de transferência de arquivo de forma não ideal – o que carac-
hábitos saudáveis se ela é criada num ambiente familiar em que ela não tem exemplos des- teriza desconhecimento.
te tipo de comportamento.
Para lidar com isso, um bom programa de conscientização traça grupos de risco após cada
A lógica aqui é a mesma. Para que uma cultura de hábitos saudáveis ou de segurança da fase ou ciclo de ações informativas e educativas. Esses grupos são compostos de pesso-
informação seja instaurada, é fundamental que as pessoas envolvidas tenham noção da as que não absorveram bem o que foi comunicado, de modo que precisam de atenção mais
sua importância e benefícios. Ninguém quer ser incomodado para mudar seus compor- pontual e abordagem mais direta. Pode ser que elas não tenham entendido bem o conteúdo
tamentos a menos que entendam a importância e os benefícios envolvidos nisso, assim informado ou ainda não tenham assimilado a importância do que se está transmitindo.
como a gravidade dos riscos associados à não conformidade com as diretrizes comunica-
das. Um usuário que cai em diversas simulações de phishing e lida com informações altamen-
te sensíveis no departamento de Pesquisa e Desenvolvimento ou financeiro, por exemplo,
Além disso, não pode haver privilégios: todos são iguais perante as regras. Um CEO não representa um risco muito maior e demanda mais atenção focada para a resolução do ruído
pode ter prerrogativas de relaxamento no comportamento de segurança por ocupar o cargo de aprendizagem que um funcionário que em geral comporta-se conforme boas práticas e
que ocupa. Muito pelo contrário: além de ser fundamental como exemplo para seus cola- uma vez esquece-se de bloquear sua máquina. Por isso, esta avaliação é feita para melhor
boradores, quanto mais sensíveis forem as informações às quais um funcionário tem aces- entender as necessidades de cada grupo para melhor comunicar e assim engajar.
so, mais responsável ele precisa ser com segurança. Com a negligência – não importa de
quem – não se pode ter complacência.

Esses dois aspectos – ambiente propício e isonomia de tratamento – são os pilares para
um dos elementos mais fundamentais de uma cultura de segurança, e, verdadeiramente, do
conceito de cultura: o senso de comunidade.

Quando um grupo de pessoas compartilha os mesmos valores, e entende a importância de


seus objetivos e seu papel dentro do sistema, é proporcionado o desenvolvimento de uma
lógica de evolução coletiva, de construção mútua e compartilhada. Ainda de acordo com
Roberto da Matta:

“É justamente porque compartilham de parcelas importantes deste código (a cultura) que um


conjunto de indivíduos (...) transforma-se num grupo e podem viver juntos sentindo-se par-
te de uma mesma totalidade. Podem, assim, desenvolver relações entre si porque a cultura
lhes forneceu normas que dizem respeito aos modos, mais (ou menos) apropriados de com-
portamento diante de certas situações. (...) Quer dizer, as regras que formam a cultura (ou a
cultura como regra) é algo que permite relacionar indivíduos entre si e o próprio grupo com o
ambiente onde vivem.”
REQUISITOS DE UMA CULTURA
EFICAZ E DURADOURA
Primeiro de tudo, você precisa ter uma boa Política de Segurança da Informação, como
já reiteramos diversas vezes aqui. Existem padrões para PSI, que devem, idealmente, ser
baseadas nas recomendações propostas pela norma ABNT NBR ISO/IEC 27001:2005, re-
conhecida em todas as partes do mundo como um referencial à gestão da segurança da
informação, bem como estar em sintonia com a legislação do país e com o contexto da
empresa.

Um ponto que facilita a tradução das políticas de segurança e de uma cultura sólida é a co-
municação próxima ao usuário, descomplicada e de fácil assimilação. Para se alimentar de
modo mais saudável, se você precisar cozinhar por 40 minutos para fazer um lanche ade-
quado, é possível que você simplesmente fuja do recomendado e coma um salgado, não é
verdade? Por isso, criar processos fáceis e claros é um parâmetro a se considerar quando
traçar as diretrizes da política de segurança.

Em seguida, como evidenciamos, você deve comunicar e tornar tangível esta política atra-
vés de um programa de conscientização para construir uma cultura relevante, fácil de
manter e reforçar, em um processo colaborativo, coletivo, e aberto a comunicação e fee-
dback.

Esta última parte, que envolve colaboração, comunicação e feedback é fundamental para
estreitar o relacionamento de troca e confiança entre a empresa e seus colaboradores.
Embora o elo mais fraco de todo sistema de segurança seja o fator humano, pessoas bem
treinadas e inseridas numa cultura de segurança que faz sentido para elas e para o ambien-
te podem configurar uma barreira de segurança praticamente impenetrável. Para isso, é
fundamental que todos compreendam claramente suas responsabilidades e os riscos asso-
ciados às informações com as quais lidam, além, claro, das boas práticas a serem transmi-
tidas por um programa de conscientização.

Com isso, você garante que seus colaboradores sejam seus maiores aliados no cumpri-
mento das diretrizes da sua política de segurança, empregando as boas práticas aprendi-
das através do programa de conscientização na construção de uma cultura de segurança
na sua empresa.
CONCLUSÃO
Uma cultura de segurança sólida é o ponto ideal de maturidade de segurança atingido por
colaboradores de uma empresa, tanto no âmbito do ambiente empresarial quanto em suas
vidas pessoais: é impossível que um modo de pensar tão positivo empregado na sua ativi-
dade diária não seja levado para outras esferas da sua vida.

Apesar das diferenças intrínsecas entre política e cultura de segurança da informação, é


evidente que as duas sejam complementares e se retroalimentem, sendo a política a base
formal de regras, e a cultura o mindset, os costumes diários que consolidam a política na
prática.

Contudo, esse ponto alto da maturidade de segurança só é possível por meio de um progra-
ma de conscientização de segurança que comunique de forma clara e acessível a política
de segurança da empresa, aproximando os colaboradores e suas atividades diárias dos
objetivos e valores almejados pela empresa.
Agora que você já sabe os pontos chave que precisam estar presentes para construir uma
cultura de segurança na sua empresa, vale lembrar que esta é uma condição que precisa
ser constantemente estimulada e renovada – sua manutenção e adequação a novas ten-
dências e exigências de mercado é essencial para sua sobrevivência e eficácia.

Isso depende de uma mudança de comportamento e costumes para o estabelecimento de


uma nova forma de agir conforme boas práticas, e criar hábitos pode levar tempo. Porém,
é indispensável que além deste esforço pessoal, todos na medida do possível se esforcem
pela propagação desse conhecimento. Só assim estaremos contribuindo para a construção
de uma sociedade mais segura e negócios mais confiáveis.
contato@proof.com.br

+55 21 2277.7520

www.proof.com.br

Rua Sete de Setembro, 99 / 14º andar


Rio de Janeiro – RJ – 20050-005