Linkedin Youtube Instagram
Linkedin Youtube Instagram

Construindo uma cultura de segurança nas empresas: Boas práticas e desafios

julho, 2024‎ ‎ ‎ |

‎Por Cleverson Arashiro

A segurança da informação é um pilar fundamental para qualquer empresa que deseja proteger seus dados, seus sistemas, seus recursos, sua reputação, a confiança dos clientes e por fim, o próprio negócio. No entanto, para que as medidas de segurança sejam realmente eficazes, é crucial que toda a organização, desde a liderança até os colaboradores, adote uma cultura de responsabilidade de segurança robusta. Neste artigo, exploraremos a importância de uma cultura de segurança, os passos para implementá-la, casos de sucesso e os desafios comuns enfrentados pelas empresas.

Importância da Cultura de Segurança

Uma cultura de segurança sólida não apenas protege a infraestrutura e sistemas de uma empresa, mas gera valor no produto e reforça a confiança dos clientes e stakeholders. Quando a segurança é entendida como uma responsabilidade coletiva, os riscos de fraudes, vazamentos de dados e outros incidentes diminuem significativamente. Além disso, uma cultura de segurança promove um ambiente de trabalho mais consciente e preparado para enfrentar as ameaças cibernéticas.

Passos para Implementar uma Cultura de Segurança



Comprometimento da Liderança

A criação de uma cultura de segurança começa com o comprometimento dos líderes da empresa. Executivos e gestores devem não apenas apoiar, mas também liderar pelo exemplo, demonstrando a importância da segurança em todas as suas ações e decisões.

  • Exemplo Prático: Realizar reuniões regulares sobre segurança da informação onde a pauta é apresentada pelo CEO e a alta liderança, incluindo métricas de segurança nos relatórios de desempenho e metas.



Educação e Conscientização

Os colaboradores, fornecedores e clientes, precisam entender a importância da segurança da informação e como suas ações podem impactar a empresa. Programas de treinamento e workshops contínuos são essenciais para manter todos informados sobre as melhores práticas e novas ameaças.

  • Exemplo Prático: Realizar sessões de treinamento e campanhas de conscientização contínuas para os colaboradores, fornecedores e clientes.



Políticas e Procedimentos Claros

Estabelecer políticas e procedimentos claros que todos os colaboradores devem seguir é fundamental. Isso inclui desde a criação de senhas fortes até o reporte de atividades suspeitas.

  • Exemplo Prático: Desenvolver políticas de segurança com linguagem simples e acessível, sem o tecniques das áreas de segurança e garantindo que a informação chegue a todos os colaboradores da empresa.



Ferramentas e Tecnologias Adequadas

Investir em ferramentas e tecnologias modernas que suportem as políticas de segurança de forma eficiente é de extrema importância. Usar padrões de infraestrutura seguras com o o uso de criptografia, VPNs, duplo fator de autenticação assim como detectar comportamentos estranhos ou que desviem do usual, permite a proteção pró-ativa do ambiente.

  • Exemplo Prático: Implementar soluções de EDR (Endpoint Detection and Response), Zero trust, uma boa solução de gestão de acessos com duplo fator de autenticação aliada com as melhores práticas de conformidade da infraestrutura.



Avaliação e Melhoria Contínua

A cultura de segurança deve ser dinâmica e adaptável. Realizar auditorias regulares e revisões de segurança ajuda a identificar áreas de melhoria e adaptar as políticas conforme necessário (a área de compliance é um aliado valioso).

  • Exemplo Prático: Conduzir revisões e auditorias de segurança regulares.



Ser ágil na transformação e adaptação

Atualmente a velocidade de inovação é muito maior que no passado e isso exige que a área de segurança da informação se transforme e se adapte rapidamente. Inovações como as aplicações com inteligência artificial permitem que tenhamos um arsenal de ferramentas, tanto para a proteção de sistemas, como para o desenvolvimento de ameaças. Fraudes com identidade, biometria, etc é uma realidade.

  • Exemplo Prático: Usar ferramentas que consigam identificar ações que tipicamente são realizadas antes de um ataque mais sofisticado. Demonstrar para os colaboradores quais são os benefícios e os riscos no uso da inteligência artificial.

Casos de Sucesso


Microsoft

  • Descrição: Após vários incidentes de segurança nos anos 2000, a Microsoft implementou a “Security Development Lifecycle” (SDL), que integra práticas de segurança em todas as etapas de desenvolvimento de software.
  • Impacto: A empresa conseguiu reduzir significativamente vulnerabilidades em seus produtos e aumentar a confiança dos clientes.


Google

  • Descrição: Google criou o BeyondCorp, um modelo de segurança “zero trust” que elimina a necessidade de uma rede corporativa tradicional segura e foca na autenticação contínua de dispositivos e usuários.
  • Impacto: Melhorou drasticamente a segurança interna e tornou-se um modelo amplamente adotado por outras empresas.


IBM

  • Descrição: IBM investiu pesadamente em segurança cibernética e desenvolveu o IBM X-Force Command Center, um centro de operações de segurança cibernética de última geração.
  • Impacto: Elevou o padrão de resposta a incidentes e capacitação em segurança, além de fortalecer a cultura de segurança entre seus funcionários e clientes.


Salesforce

  • Descrição: Salesforce implementou um programa de segurança abrangente que inclui treinamentos regulares, simulações de ataques e a iniciativa “Secure by Design” para integrar segurança no desenvolvimento de produtos.
  • Impacto: Reduziu riscos de segurança e promoveu uma cultura de segurança forte e proativa.


Netflix

  • Descrição: Netflix desenvolveu o Chaos Monkey e outros simian army tools, que testam continuamente a resiliência de seus sistemas de produção.
  • Impacto: Aumentou a robustez de seus sistemas e fomentou uma cultura de preparação contínua para incidentes de segurança.


Banco Itaú

  • Descrição: Implementou um programa robusto de segurança cibernética, incluindo treinamento contínuo para funcionários, simulações de ataques e investimentos em tecnologias avançadas de segurança.
  • Impacto: Melhorou significativamente a resiliência contra ataques cibernéticos e elevou a conscientização sobre segurança entre os funcionários.


Embraer

  • Descrição: Desenvolveu uma cultura de segurança que integra práticas rigorosas de segurança em todas as operações e treinamentos regulares de segurança para todos os colaboradores.
  • Impacto: Aumentou a proteção contra ameaças cibernéticas e garantiu a segurança dos dados e sistemas sensíveis da empresa.
Cleverson-Arashiro_C

Cleverson Arashiro

Sou conhecido como Shiro. Pai da Marina e marido da Dina. Atualmente Diretor de Segurança, Privacidade e IT Ops no grupo Arco Educação. Profissional e gestor de Infraestrutura e Segurança com experiência há mais de 20 anos passando por empresas consolidadas como Universidade de São Paulo e Ericsson, pelas tradicionais B3 e IBM e startups como C6Bank, iugu e Loft. No grupo Arco Educação estou participando do projeto de transformação unificando as áreas de Segurança da Informação, Privacidade de dados, Governança de tecnologia, Infraestrutura e IT. Com conhecimentos multidisciplinares e sempre ligado na segurança da informação e privacidade, liderou uma das 5 primeiras empresas a conseguir a certificação ISO27001 no território nacional. Atualmente com a meta pessoal de consolidar as empresas por onde passo em processos mais eficientes alinhados com a inovação e o uso consciente de recursos. Em disseminar o conhecimento de segurança da informação e privacidade de dados ao mesmo tempo em que desenvolvo equipes de excelência e futuros líderes.

Search

Categorias

Posts Recentes

Podcast

LinkedIn
Twitter
Facebook
WhatsApp
Email

, , ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

ASSINE A NOSSA NEWSLETTER

  • Não enviamos spam, então não se preocupe!

© 2024 Rede Digitalize. Todos os direitos reservados.