Sem sensibilização não é possível sermos ciber-resilientes

A clara escalada na revelação de data breaches em empresas por todos reconhecidas, traz um novo e importante reconhecimento da necessidade de as empresas estarem preparadas e conscientes da facilidade com que um ataque informático pode acontecer.

Embora as organizações estejam mais atentas, pelo número evidente de ciber-incidentes, é consensual que o fator humano continua a ser um dos maiores elementos de risco das organizações. Não basta a aposta em tecnologia, processos, políticas e procedimentos, enquanto não for feita também uma clara aposta na dimensão humana das empresas.

Os números são bastante claros. 88% dos líderes executivos mundiais consideram a cibersegurança como um risco do negócio e não tecnológico, enquanto 95% destes ocorrem por erro humano. 

A nível nacional, e de acordo com o Relatório Riscos e Conflitos 2022, publicado pelo Centro Nacional de Cibersegurança, a origem mais frequente dos incidentes que resultaram em notificação à Comissão Nacional de Proteção de Dados é a falha humana (24% das notificações), seguido pelo ransomware (22%) e ações fraudulentas (13%). No mesmo relatório, a persistência do uso da exploração das fragilidades da cultura de segurança dos utilizadores está identificada como uma das principais tendências em Portugal para o período 2022-2023. 

Então, porque não agimos? 

A sensibilização de colaboradores continua a ser um dos maiores desafios que as organizações enfrentam pela dificuldade em chegar a todos de forma eficaz. Há muito que foi provado que a formação igual para todos não surte efeito, e que a abordagem “one-and-done” não responde às necessidades de sensibilização atuais, aumentado este grau de dificuldade. 

Impõe-se repensar a narrativa de que os colaboradores são o elo mais fraco da segurança das empresas. Devemos sim considerar que estes poderão e deverão ser, na verdade, a primeira linha de defesa das mesmas. Esta é a primeira prioridade para uma mudança no cenário atual que leve as organizações a bom porto na vertente da ciber-defesa e ciber-resiliência. 

Esta mudança, por seu lado, só acontece com uma clara intervenção e participação dos líderes das organizações, que devem liderar pelo exemplo, reforçando a importância da segurança ao longo do tempo e fazendo desta um dos pilares da missão de cada organização. 

Deve partir da gestão de topo a iniciativa de promover as mudanças necessárias, encontrando programas de sensibilização adequados às características dos seus colaboradores, fomentando uma prática de comunicação aberta e constante sobre o tema, e, acima de tudo, disponibilizando os meios necessários à mudança de comportamentos.

É necessário cimentar uma cultura organizacional assente não só, mas também, na segurança da informação, quebrando o mito que a segurança é apenas para quem dela sabe, e parar de pensar na sensibilização dos colaboradores como mais uma caixa que tem de ser preenchida para que um ou outro regulamento seja cumprido. 

Precisamos de simplificar os processos de aprendizagem e integração de boas práticas, e promover uma mudança clara de comportamentos, demonstrando como as ferramentas e práticas a que incentivamos podem, e devem, ser usadas na vida pessoal de cada um.

Uma mudança no paradigma atual da segurança só será conseguida se for incentivada pela gestão de topo das empresas, e pela mudança de pré-conceitos há muito ultrapassados. Sem uma abordagem eficaz para a gestão do risco humano e uma mudança comportamental e cultural, uma organização não se consegue tornar ciber resiliente.