Barracuda full logo

Cultura de segurança e a sua importância na proteção das organizações

Tópicos:
18 nov. 2024
|
Nihad Hassan

Os ciberataques estão a aumentar rapidamente. Com o surgimento de tecnologias de inteligência artificial (IA), os criminosos informáticos podem agora criar ataques de engenharia social sofisticados, tornando essas ameaças mais prevalentes e mais fáceis de executar. No entanto, a adoção de IA não é o único fator que impulsiona o aumento dos riscos cibernéticos. A rápida digitalização, que se manifesta no uso generalizado de dispositivos de Internet das Coisas (IoT), e a mudança para ambientes de nuvem expandiram enormemente as superfícies de ataque, fornecendo mais pontos de entrada para os hackers explorarem.

O Relatório IBM Cost of a Data Breach Report 2024 revelou um aumento de 10% no custo médio global de violação de dados, atingindo $4,88 milhões por incidente, e a Cybersecurity Ventures prevê que o custo global do cibercrime atingirá $10,5 trilhões anualmente até 2025. Estas estatísticas alarmantes sublinham a necessidade de uma cultura de segurança robusta para permitir que as organizações sobrevivam no complexo panorama atual de ameaças digitais e gerenciem os crescentes riscos colocados pelas tecnologias modernas — riscos que as soluções de segurança tradicionais, por si só, não conseguem mitigar completamente.

Este artigo irá examinar a importância de ter uma cultura de segurança nos negócios e destacar os inúmeros benefícios de implementar tal cultura. Mas antes de explicar por que as empresas precisam de tal cultura, vamos definir "cultura de segurança."

O que é a cultura de segurança?

A cultura de segurança é um conjunto de valores, crenças e comportamentos partilhados que impulsionam a tomada de decisões conscientes de segurança nas operações de uma organização. Incentiva uma abordagem de "segurança primeiro", onde colaboradores e gestores incorporam proativamente considerações de segurança em cada ação e interação. Esta abordagem proativa garante que as organizações não estão apenas a reagir às ameaças após a sua ocorrência, mas estão bem preparadas para mitigar riscos antes de chegarem às portas da empresa.

A cultura de segurança não é responsabilidade exclusiva do departamento de TI. Por exemplo, todos os colaboradores dentro de uma organização e em todos os departamentos devem conhecer a importância da segurança e integrar as melhores práticas de segurança em todas as operações diárias para proteger os ativos digitais e os dados da organização.  

Por exemplo, numa empresa com uma forte cultura de segurança, os colaboradores que recebem pedidos invulgares de informações sensíveis por e-mail ou telefone verificam esses pedidos através de canais de comunicação de confiança, como comunicações diretas ou plataformas de mensagens seguras como o Slack. Este cuidado pode efetivamente parar as tentativas de phishing.

Abordagem da Microsoft para implementar a cultura de segurança

Um bom exemplo de valorização da importância de ter uma cultura de segurança para combater os ciberataques é a Microsoft, que lançou a Secure Future Initiative (SFI) no final de 2023. Esta iniciativa surge após o aumento da frequência, velocidade e sofisticação dos ciberataques, o que exige a implementação de práticas de segurança robustas em todos os departamentos e produtos da Microsoft. O presidente da Microsoft, Brad Smith, escreveu um blog descrevendo a importância desta iniciativa e resumiu-a numa frase: "Esta nova iniciativa reunirá todas as partes da Microsoft para avançar na proteção cibernética."

A Microsoft SFI é construída com base nos seguintes três pilares:

  1. Seguro por design – A segurança é a prioridade ao conceber qualquer produto ou prestar qualquer serviço
  2. Seguro por defeito – Existe uma implementação automática de proteções de segurança. As funcionalidades de segurança essenciais são aplicadas por defeito e não podem ser desativadas facilmente pelo utilizador. Esta abordagem também garante que as definições de segurança são pré-configuradas para padrões elevados.
  3. Operações seguras – Os protocolos de segurança e a monitorização devem ser atualizados regularmente para enfrentar as ameaças emergentes atuais e futuras

Porque é que a cultura de segurança é importante para as organizações?

Uma cultura de segurança robusta oferece vários benefícios críticos para as organizações:

Deteção precoce de ameaças

Uma cultura de segurança forte permite que as organizações identifiquem potenciais ameaças cedo, antes de serem exploradas por atacantes. Por exemplo, funcionários formados utilizando simuladores de e-mails de phishing estarão mais vigilantes em relação a e-mails de phishing e anexos maliciosos, o que pode evitar que tais ataques sejam bem-sucedidos.

Minimizar danos após o ataque

Mesmo após um ataque bem-sucedido, um funcionário com conhecimento de segurança pode limitar a propagação da infeção a todo o ambiente de TI. Por exemplo, funcionários treinados para desconectar dispositivos de endpoint comprometidos da rede podem impedir intrusões adicionais. Um exemplo do mundo real: Quando o ransomware atinge um departamento, a rápida isolação do segmento de rede do departamento impede que o ransomware infete todos os outros dispositivos em todos os departamentos.

Promover a responsabilidade

Incentivar os colaboradores a assumirem a responsabilidade pela segurança — além de se basearem em soluções automatizadas — promove a vigilância em toda a organização. Por exemplo, associar incentivos, como promoções e bónus, a práticas seguras, como evitar phishing ou manter a segurança dos dispositivos (por exemplo, não instalando aplicações não autorizadas ou visitando sites não autorizados), motiva os colaboradores a manterem os padrões de segurança.

Proteção de dados sensíveis

Uma forte cultura de segurança protege os dados sensíveis contra acessos não autorizados. Uma violação hoje pode resultar em consequências financeiras, reputacionais e operacionais catastróficas. A cultura de segurança pode ajudar a minimizar violações de dados, principalmente em organizações que operam em ambientes altamente regulados. Por exemplo, um funcionário com conhecimentos de segurança numa organização de saúde irá habituar-se a encriptar registos de pacientes e a verificar as identidades dos destinatários antes de partilhar informações médicas. Tais práticas prevenirão grandemente a violação de informações sensíveis dos pacientes.

Reforçar práticas seguras

A cultura de segurança promove hábitos como escrutinar anexos de email, evitar clicar em links suspeitos e usar senhas fortes e únicas. Por exemplo, quando os funcionários se habituam a verificar endereços de remetentes e assinaturas digitais antes de abrir anexos de fontes externas, isto reduz drasticamente a possibilidade de infeção por malware, como um keylogger ou ransomware. Muitos estudos mostram que o erro humano é a principal causa de ciberataques, e a cultura de segurança pode reduzir esta ameaça ao mínimo. De acordo com o Relatório de Ameaças de Dados da Thales, que entrevistou 3.000 profissionais de TI e segurança em 18 países, 55% dos entrevistados identificaram o erro humano como a principal causa de violações de dados.

Construir a confiança das partes interessadas

Ter práticas de segurança robustas aumentará a confiança entre os intervenientes, como clientes, parceiros de negócios e reguladores. Por exemplo, é comum que instituições financeiras exibam os seus protocolos de segurança durante a integração de clientes (por exemplo, exigir que os clientes utilizem autenticação multifator (MFA) e SSL para aceder a e-portais bancários). Estas práticas de segurança conduzem a um aumento da confiança entre os clientes.

Garantindo a conformidade regulamentar

Conformidade com regulamentos de proteção de dados como GDPR, PCI DSS, e HIPAA requer controlos de segurança rigorosos. Por exemplo, as empresas de retalho mantêm a conformidade contínua com o PCI DSS através de formação regular de pessoal, verificações automáticas de segurança e auditorias. Uma cultura de segurança forte simplifica a adesão a tais mandatos ao integrar a conformidade nas operações diárias.

Dicas para criar uma cultura de segurança forte para empresas?

A cultura e a cibersegurança estão intimamente ligadas. Não se trata apenas de regras e ferramentas, mas também de como as pessoas se sentem em relação à segurança e da sua abordagem para a alcançar. A cultura diz respeito a hábitos, atitudes e desejos. Para incutir uma cultura de segurança, as pessoas precisam de estar bem informadas e preparadas com formação de sensibilização sobre cibersegurança, responsabilidade e dever de prestar contas pelas suas ações no trabalho.

Embora cada organização possa abordar a criação de uma cultura de segurança de forma diferente, há elementos gerais que todas as organizações devem incorporar.

Obtenha apoio da liderança

O primeiro passo para desenvolver uma cultura de segurança numa organização é garantir o apoio da gestão de topo. Quando os gestores de topo se comprometem a fomentar uma cultura de segurança, é mais provável que os colaboradores de toda a organização a sigam.

O apoio da liderança é vital não só para fomentar uma mentalidade de segurança profundamente enraizada entre os funcionários, mas também para garantir os fundos necessários para executar programas abrangentes de formação em cibersegurança. Estes programas são essenciais para fornecer aos funcionários o conhecimento e as competências necessárias para aderir e seguir os mais elevados padrões de proteção de segurança. Ao enfatizar a importância da segurança de cima para baixo, as organizações podem criar uma abordagem unificada que melhora a segurança geral e a resiliência contra as ciberameaças.

Desenvolva políticas de segurança e comunique-as claramente a todos os colaboradores

Para desenvolver políticas de segurança eficazes, é importante comunicá-las claramente a todos os colaboradores. O primeiro passo é identificar os ativos digitais críticos da nossa organização (por exemplo, dados, aplicações e outros sistemas de TI) e avaliar as potenciais ameaças contra eles. Esta compreensão ajudará a determinar as melhores medidas de proteção para cada elemento.

Componentes chave da política:

  • Classificação de dados: Agrupar informações de acordo com a sua sensibilidade como públicas, internas, confidenciais ou restritas
  • Controlo de acesso: Definir procedimentos para conceder e revogar direitos de acesso para utilizadores e sistemas
  • Resposta a incidentes: Estabelecer protocolos para o tratamento de incidentes de segurança — O que deve fazer se houver uma violação de dados
  • Segurança do trabalho remoto: Especificar requisitos para acesso remoto e segurança de dispositivos
  • Gestão de terceiros: Detalhar os requisitos de segurança para parceiros externos, como fornecedores externos e outros contratantes

Por exemplo, em relação às informações de identificação pessoal (PII) dos clientes, certifique-se de que estão armazenadas num formato encriptado, e qualquer acesso a esta informação por parte dos empregados deve ser registado num log de auditoria.

Incentivar hábitos de segurança entre os funcionários

As organizações precisam de incorporar a segurança nas atividades diárias de rotina para fomentar hábitos de segurança eficazes que perdurem ao longo do tempo. Por exemplo, um banco poderia lançar uma competição de "secretária limpa", incentivando vários departamentos a competir mensalmente para demonstrar as melhores práticas de segurança. Isto incluía tarefas como remover documentos sensíveis, bloquear ecrãs de computadores quando não estiverem a ser utilizados e garantir que todas as aplicações instaladas e sistemas operativos nos seus dispositivos informáticos estejam atualizados.

De forma semelhante, um prestador de cuidados de saúde adotou uma abordagem gamificada para a segurança, atribuindo pontos pela identificação de e-mails de phishing de teste utilizando simuladores de phishing e oferecendo prémios trimestrais para os melhores desempenhos. Estes exercícios práticos transformaram a segurança de uma tarefa aborrecida numa parte normal da cultura do local de trabalho.

formação de sensibilização sobre cibersegurança

A formação é crucial para informar os seus colaboradores sobre os métodos de ataque mais recentes e truques de engenharia social. A emergência da IA também torna necessário educar os colaboradores sobre como os atacantes utilizam ferramentas baseadas em IA para executar ataques contra eles. Por exemplo, a formação para detetar esquemas de deepfake tornou-se essencial à medida que estes ataques têm aumentado ultimamente.

À medida que os ciberataques continuam a escalar, a necessidade de uma abordagem holística para gerir os aspetos de segurança nas organizações torna-se muito importante. Neste artigo, discutimos a importância de ter uma cultura de segurança nas organizações para as proteger de ciberameaças, mencionámos os benefícios de uma cultura de segurança e, por fim, demos algumas dicas para criar uma cultura de segurança bem-sucedida para qualquer empresa.

Relatório: Liderar o seu negócio através do risco cibernético
Nihad Hassan

Nihad Hassan é um autor técnico experiente que publicou seis livros na área da cibersegurança. As suas áreas de especialização incluem uma ampla gama de tópicos relacionados com a cibersegurança, incluindo OSINT, inteligência sobre ameaças, forense digital, ocultação de dados, privacidade digital, segurança de rede, engenharia social, ransomware, testes de penetração, segurança da informação, conformidade e proteção de dados.

Artigos Relacionados:
Porque deve estar familiarizado com a framework MITRE ATT&CK
Porque deve estar familiarizado com a framework MITRE ATT&CK
 Cybersecurity Awareness Month 2023: Events, security tips, and more
Cybersecurity Awareness Month 2023: Events, security tips, and more
 Make the most of Cybersecurity Awareness Month
Make the most of Cybersecurity Awareness Month
 For effective incident response, use a remediation checklist
For effective incident response, use a remediation checklist
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.