O sucesso de uma relação entre empresa e empregado não se resume ao período em que se dá, tal troca. Vai além e exige que, tanto o momento de integração quanto o de desligamento recorram a esforços que conscientizem e preparem funcionários para agir de forma responsável, preventiva e cuidadosa quando se trata de dados corporativos. Contudo, se a intenção das organizações for de assegurar a integridade e segurança de informações e dados, a cibersegurança deverá constar em ambos conteúdos e esforços, iniciais e finais, que tangem a jornada empregador-empregado.
Novamente, para a efetivação dessa medida, será fundamental a colaboração entre setores e sua frequente comunicação. Além disso, a troca de informação envolve funcionários que estão para iniciar e finalizar seus ciclos na empresa. Indo por partes, falemos sobre o início, ou melhor, o momento que o precede.
Em princípio, um assunto tão importante para a manutenção e controle dos dados tratados pelas organizações, sejam seus próprios ou de clientes e colaboradores, não poderia ficar resumido somente ao período no qual funcionários já estão atuando em suas funções. Contudo, a preparação, quando bem feita, é realizada com a colaboração entre os setores de RH e TI, para ser planejado e desenvolvido um programa de integração. O intuito desse programa seria promover a conscientização sobre a segurança da informação antes mesmo que novos funcionários realizem seu primeiro acesso ao sistema.
Nesse sentido, parte da estratégia envolve fazer uso da motivação inicial da pessoa para fazê-la consumir a cultura da organização, seus procedimentos e suas políticas; além de a assimilar. De fato, a relevância da privacidade e dos dados utilizados de forma geral e no cargo em questão e os potenciais impactos que o vazamento poderia causar aos atingidos. Além disso, expandir a questão sobre cibersegurança também para a vida particular do funcionário. Assim, elevando sua consciência e defesas ao mesmo tempo em que promove transformações em seu comportamento e facilita a assimilação do assunto.
A segurança da informação é um tema que gera resistência por soar complicada e distante da realidade de quem não integra áreas relacionadas com a Tecnologia da Informação. Já terminou o período em que isso foi verdade. Hoje em dia, tanto a conexão quanto a interdependência entre os setores são absolutas e a segurança da informação percorre todas as áreas, cargos, funções, assegurando que o tratamento de dados seja zeloso e minucioso. Assim sendo, a promoção de um programa de conscientização voltado à integração de novos funcionários e funcionárias, deverá optar por novidades e abordagens diferentes das apresentadas em formulários e apresentações de slides.
Recursos Humanos e Tecnologia da Informação, unindo competências e trocando informações, deverão estabelecer noções básicas e transmiti-las de forma intuitiva, alinhada com as diretrizes da organização, setor e atribuições do cargo. Também, é o momento da apresentação de políticas que incluam:
Programa de segurança da informação;
Plano de resposta a incidentes;
Princípios de uso de computadores e outros dispositivos eletrônicos.
De fato, saber apresentar o tema da cibersegurança e os cuidados exigidos de forma a envolver funcionários e deles conquistar o comprometimento, é o diferencial nessa circunstância que precede o primeiro dia de trabalho.
São alguns assuntos que podem compor um material exclusivamente dedicado à conscientização sobre a Segurança da Informação no kit de boas-vindas. Demonstrando o valor da privacidade de maneiras didáticas e possíveis consequências de comportamentos arriscados, e seu potencial destrutivo. Além de demarcar os limites de acesso e ação, de acordo com cada cargo e função. Também, vale mencionar as especificidades aos que utilizam seu próprio dispositivo para a execução de seu trabalho. Tais como, documentar permissões e proibições e delimitar práticas e usos seguros dos equipamentos.
A colaboração entre RH e TI, em sintonia com a cultura de cibersegurança da organização, também incluirá nesse programa de conscientização inicial, a noção sobre a importância dos dados ao bom funcionamento dos negócios. A definição do quanto os dados são cruciais para toda a cadeia de negócio e a garantia de que esse entendimento seja repassado em formato compreensível e reproduzível é determinante para um início de atividades profissionais diferenciado.
3. Nivelando conhecimentos
As trajetórias das pessoas são diversas e bastante diferentes umas das outras, varia muito o quanto cada um sabe sobre determinados assuntos. Quais conhecimentos e hábitos sobre cibersegurança as pessoas terão aprendido ao longo de suas carreiras? Então, para evitar a existência de discrepâncias e vácuos por parte de quem ingressa na organização, é, sem dúvida, fundamental a promoção de um nivelamento que regularize conceitos, requisitos e quaisquer outras exigências.
A diversidade de pessoal e de tarefas obriga a execução de planos abrangentes, que se comuniquem coletiva e individualmente. Ao mesmo tempo em que se orienta pelas determinações da cultura organizacional. Como conteúdo auxiliar, vale o desenvolvimento de material de apoio para serem feitas consultas. Servindo como guia, podemos incluir informações tais como:
Nutrir um ambiente que encoraje as pessoas a reportarem incidentes não deve apenas servir de conteúdo nos kits de boas-vindas, precisa ser realidade. É ponto-chave, que incidentes de segurança sejam prontamente levados ao conhecimento dos responsáveis e, estabelecer locais que claramente incentivem tal prática é fundamental.
Áreas dedicadas à veiculação e compartilhamento de informações que reforcem políticas, procedimentos e condutas, que divulguem novidades acerca de novas ameaças, boas práticas e estratégias. A manutenção do engajamento permite constante atualização e alinhamento.
Por fim, informar sobre quem são os especialistas, a fim de que, na ocorrência de um incidente ou no surgimento de uma situação delicada, funcionários tenham a quem recorrer para receberem orientações.
Cada cargo e função tem suas particularidades e atribuições específicas, portanto, é importante que os programas de conscientização estejam de acordo com esses aspectos. Sem dúvida, levar ao conhecimento de cada pessoa a relação entre a segurança da informação e sua atribuição é tão valioso quanto a testagem e avaliação do quanto foi compreendido no processo. Guardar o primeiro mês após a integração para monitoramento próximo, enviar campanhas simulando ataques de Phishing, verificar o quanto foi assimilado e quais são os comportamentos frente às situações de risco. O resultado disso orientará melhores versões dos treinamentos de integração.
A revelação de que 87% dos entrevistados admitem terem levado algum tipo de dado quando desligados da empresa só nos assustará se:
Primeiramente, não houver uma cultura organizacional que promova, incentive e pratique a conscientização.
Segundo, se essa mentalidade não fizer parte do programa de integração.
Do mesmo modo, não sendo possível saber exatamente qual será o comportamento da pessoa após seu aviso ser informado, é importante, novamente, contarmos com a colaboração entre RH e TI.
Ademais, a comunicação e cooperação entre esses setores é estratégica, pois, permitirá não apenas a intensificação da vigilância sobre a pessoa. Mas, maior escrutínio em seus acessos e permissões. Aos que contavam com concessões ainda maiores, aprofundar os cuidados, dada a sensibilidade dos dados e informações dos quais tinha contato.
Enfim, a dinamicidade desse processo envolve pessoas e setores distintos, mas os esforços servem apenas a uma finalidade: guardar e preservar dados, informações e privacidade. Itens fundamentais às organizações hoje em dia.
Gostou deste conteúdo e quer ler mais sobre a cibersegurança? Acesse o nosso blog e confira os demais conteúdos! Até a próxima.