Locaweb Edição 109

A aprovação da Lei Geral de Proteção de Dados (LGPD) criou um frenesi entre as empresas brasileiras – especialmente as de pequeno ou médio porte, que jamais tinham parado para pensar sobre a importância de salvaguardar os dados pessoais dos clientes. No geral, a área de segurança da informação nunca teve muita importância para as PMEs, por mais que elas sejam alvos frequentes de criminosos cibernéticos, justamente por terem uma infraestrutura de TI mais frágil. Se por um lado a corrida pela adequação à legislação incentivou maiores investimentos no setor, por outro há a figura do empreendedor que acredita confiar cegamente nas soluções automatizadas e nos softwares de proteção de endpoint (conhecidos popularmente como antivírus). Contar com uma ajudinha da tecnologia para proteger seus ativos é, de fato, um passo importante, mas de nada adianta ter os melhores firewalls e programas de proteção reativa se o fator humano não for trabalhado. Caso nunca tenha ouvido falar sobre security awareness, não se preocupe. Até mesmo fora do Brasil, a conscientização sobre segurança é uma arte menosprezada pelas empresas, inclusive multinacionais. Mesmo assim, em recente pesquisa efetuada com mais de 5 mil entrevistados, a Kaspersky concluiu que, para 57% das companhias, seus funcionários são o maior risco à proteção de dados sigilosos. Eis que surge a necessidade de condicionar o comportamento seguro daqueles que estão na linha de frente dessa guerra cibernética. A engenharia social é uma ameaça que não se combate com tecnologia, mas VOCÊ ESTÁ TREINANDO OU MUDANDO A CULTURA DE SEUS COLABORADORES? É necessário condicionar o comportamento seguro daqueles que estão na linha de frente da guerra cibernética com psicologia. O ator malicioso que se enquadra nesse cenário é especializado em manipular os sentimentos do ser humano, explorando suas fraquezas e vieses cognitivos para que ele adote o comportamento inseguro que vai levá-lo ao ato falho. Isso pode ser desde a abertura de um anexo nocivo até o preenchimento de um formulário para roubar credenciais. É por isso que um bom programa de conscientização sobre segurança da informação vai muito além da simples missão de treinar seus colaboradores a respeito das ameaças cotidianas. Mais que isso, ele deve promover profundas alterações culturais para que os funcionários compreendam a importância da privacidade e priorizem essa questão no desenvolvimento de produtos, na criação de processos, na contratação de fornecedores e até mesmo na adoção de ferramentas de trabalho como os Softwares as a Service (SaaS). É essa cultura que auxiliará sua empresa a adotar uma mentalidade privacy-first e desenvolver um ambiente seguro para todos. Ela também será levada ao âmbito pessoal dos colaboradores, que poderão propagar conhecimentos básicos de segurança da informação para seus familiares, amigos e pessoas próximas. Afinal, vivemos em um mundo cada vez mais conectado, e esse tipo de sabedoria é útil para qualquer cidadão. 18 // opinião // revista locaweb RAMON DE SOUZA JORNALISTA, ESCRITOR, PALESTRANTE, COLUNISTA E CONSULTOR EM SEGURANÇA DA INFORMAÇÃO, COM FOCO EM SECURITY AWARENESS E ENGENHARIA SOCIAL ramonsouza94 @ramon_rain ramon-souza@outlook.com.br