Todo mundo já sabe que a conscientização do fator humano é uma prática essencial em qualquer estratégia de segurança da informação — afinal, são os erros cometidos pelos colaboradores os principais gatilhos para incidentes como vazamentos de dados, infecções por malwares e outros desastres. Mas, no fim das contas, será que uma empresa pode chegar a ser multada por não contar com um programa de conscientização?
A resposta é: sim e não. Parece confuso, mas vamos explicar: esse “deslize” pode sim, de forma indireta, trazer sanções e penalidades financeiras para uma companhia. Mas isto porque quase todos os frameworks e legislações de proteção de dados vigentes no mercado requerem, como parte dos controles básicos de segurança, que toda a equipe seja treinada adequadamente a respeito das ameaças à informação e como responder a elas.
Isto posto, é perfeitamente possível que suas políticas estejam bem-estruturadas, seu firewall esteja funcional, suas soluções de endpoint estejam em dia, os recursos de proteção física estejam perfeitos, mas… Por não ter recebido uma educação adequada, um colaborador acaba se tornando uma brecha para a entrada de um ator malicioso, causando um incidente que violará tais regras.
Vamos começar pelo mais básico — a Lei Geral de Proteção de Dados (LGPD). Em seu Art. 41., que esclarece algumas responsabilidades do encarregado de dados (DPO), a legislação orienta que um dos papéis do executivo é “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”.
Além disso, embora não explicite o uso de programas de conscientização ou utilize tal termo, a LGPD defende que as empresas precisam adotar as melhores práticas de governança de segurança da informação possíveis, provando a sua efetividade quando assim for necessário. É desnecessário ressaltar que, em comum acordo com o mercado, educar o fator humano está dentro desse rol de melhores práticas.
A “irmã europeia” da LGPD, a General Data Protection Regulation (GDPR), também cita, diversas vezes ao longo de seu texto integral, a importância de que “todos os colaboradores recebam treinamento apropriado sobre seu programa de privacidade, incluindo seus objetivos, o que lhe é requerido a fazer e quais responsabilidades eles possuem", ressaltando ainda que a educação deve ser “relevante, eficiente e atualizada”.
As normas ISO/IEC 27001 e 27002, consideradas as “bíblias” da segurança da informação, também deixam bem claro: “todos os colaboradores da organização e, quando relevante, contratados e terceiros devem receber treinamento de conscientização apropriado e atualizações periódicas sobre as políticas e procedimentos organizacionais referentes às suas funções profissionais”.
O mesmo ocorre no Cyber Assessment Framework (CAF) do National Cyber Security Centre (NCSC): deve existir um programa que "apoie a equipe apropriadamente de forma a garantir que eles façam uma contribuição positiva nas funções essenciais de segurança cibernética". O órgão até mesmo distribui, de forma pontual, alguns recursos gratuitos para auxiliar na implementação e manutenção desses programas.
Quer mais? Outras normas e frameworks que citam a educação do fator humano são a NIST 800-53, a COBIT, a NERC CIP, a PCI DSS, a HIPAA e nada menos do que aproximadamente outras 55 legislações federais e estaduais dos Estados Unidos da América — uma estatística que deve acender uma luz vermelha em seu planejamento estratégico de ciberdefesa caso atue em território estadunidense.
No fim, há ou não uma multa?
Não, não há relatos públicos a respeito de alguma empresa, ao redor do mundo, que tenha sido multada exclusivamente pela falta de um programa de conscientização. Porém, há diversos casos em que a falta de habilidade dos colaboradores em responder a uma ameaça pode ser entendida como o estopim para um incidente maior, que tenha causado a exposição indevida de dados ou paralisação de serviços críticos.
O que ocorre é que, no fim das contas, é o incidente em si que é julgado e publicizado, sendo difícil para qualquer um de nós, de fora das investigações mais profundas, entender o que realmente ocasionou toda a tragédia. Sabemos, porém, que os órgãos reguladores e de auditoria são rígidos em observar se os controles de segurança de uma empresa estavam nos conformes, obedecendo, novamente, as melhores práticas do mercado.
Em poucas palavras, isso significa que, mesmo caso o incidente não tenha sido diretamente causado pelo fator humano, a penalidade certamente será mais rígida caso seja constatado que a governança de segurança da informação foi negligente em preparar os seus colaboradores sobre os riscos que porventura poderiam ter participação ativa na transformação de uma ameaça e, por fim, um incidente.
Conscientização sem oneração
Tendo tudo isso em vista, não há dúvidas que implementar um programa de human risk reduction seja de extrema importância para evitar danos financeiros e reputacionais à marca. Na Eskive, utilizamos uma metodologia própria que desafoga a equipe de SI, desonerando os profissionais através de uma plataforma que oferece jornadas educacionais personalizadas e relatórios executivos para acompanhamento de seu amadurecimento.
Se você quer saber como já ajudamos centenas de empresas de todos os portes e segmentos a garantir a educação contínua e atualizada de seus colaboradores, entre em contato com nossos especialistas e vamos bater um papo!