O que caracteriza uma cultura empresarial forte? A resposta a essa pergunta ampliou-se à medida que as empresas adotam o trabalho remoto e híbrido, tornando a cultura mais difícil de cultivar. A boa notícia? A pandemia destacou como a cultura atrai e retém talentos. Não apenas reconhecemos agora que uma abordagem de cima para baixo da cultura empresarial não é sustentável, mas manter a cultura é uma responsabilidade compartilhada.
A mesma mentalidade se aplica à criação de uma cultura forte de cibersegurança. Na verdade, as definições de cultura empresarial e cultura de cibersegurança são semelhantes: “O conceito de cultura de cibersegurança refere-se às atitudes, conhecimentos, suposições, normas e valores da força de trabalho de uma organização em relação à cibersegurança. Esses são moldados pelos objetivos, estrutura, políticas, processos e liderança da organização.”
No entanto, mudar as atitudes e comportamentos das pessoas não é tarefa fácil. Por anos, CISOs e lideranças de segurança lidaram com o desafio que o elemento humano representa para suas organizações. E com a crescente escassez de pessoal de segurança e TI, monitorar manualmente as salvaguardas não é mais realista.
A boa notícia é que existem táticas comprovadas que podem ajudá-lo a entender melhor como seus funcionários estão lidando com as políticas e procedimentos de cibersegurança. Nós as delineamos aqui.
Como Construir uma Cultura Forte de Cibersegurança
1. Compartilhar é se importar: Assim como na cultura empresarial mais ampla, as equipes compartilham responsabilidades de cibersegurança. No entanto, criar esse tipo de cultura de cibersegurança em toda uma organização leva tempo. Comece garantindo que os protocolos de segurança e padrões estejam claramente definidos nas políticas corporativas. Dessa forma, cada funcionário compreende os princípios desde o primeiro dia.
2. Estabelecer metas realistas: Metas irreais podem criar um sentimento de apatia em toda a empresa, o que é perigoso para os esforços de cibersegurança. Ao traçar metas, considere fazer perguntas como “Quais são nossos riscos atuais e futuros? Para onde a organização está indo? Como podemos aplicar as políticas de cibersegurança nessa direção?” O mapeamento de metas deve incluir a compreensão do estado atual do risco, etapas claras e definidas para mitigar os riscos e sistemas em vigor quando as coisas não saem conforme o planejado. Lembre-se, elevação de maturidade leva tempo, um passo por vez.
3. Liderar com transparência: Relatar um incidente de cibersegurança pode ser intimidante, mas não precisa ser. A transparência, tanto do lado do funcionário quanto do lado da cibersegurança, é vital para responder rapidamente e eficientemente aos incidentes cibernéticos. Embora a transparência leve tempo, considere estabelecer relatórios com outras equipes, especialmente aquelas frequentemente expostas a riscos cibernéticos, como as equipes de desenvolvimento de negócios ou vendas. Discussões de segurança em mesa redonda ou check-ins também permitem que profissionais de TI e segurança ajudem colegas a entender os protocolos enquanto constroem relacionamentos positivos. Isso significa que, quando ocorre um incidente de cibersegurança, é fácil para os funcionários relatar — e parece a coisa certa a fazer.
4. Encontrar maneiras de automatizar tarefas manuais: Os líderes organizacionais entendem que as coisas mudam rapidamente, e o mesmo vale para a cibersegurança. Quando os ativos se desviam das políticas ou estados desejados, agir para descobrir e responder a riscos pode levar tempo e esforço, deixando as equipes de TI e segurança com menos tempo para se concentrar em tarefas estratégicas. A automação é uma maneira de liberá-los. Por exemplo, na Axonius, aproveitamos as capacidades do Enforcement Center de nossa solução de Gerenciamento de Ativos de Cibersegurança para automatizar a correção de software não gerenciado. Experimentamos o envio de notificações por e-mail direcionadas aos usuários com dispositivos contendo vulnerabilidades críticas ou de alta gravidade no Firefox e vimos melhorias significativas.
Implementar soluções como o Enforcement Center da Axonius para automatizar a remediação é vital para manter a higiene cibernética. Ferramentas como a Axonius podem ajudar profissionais de cibersegurança a agir rapidamente e facilmente, enviando alertas, implantando comandos, atualizando o CMDB e ampliando o escopo da varredura de vulnerabilidades — tudo a partir de um console de gerenciamento.
Como a Axonius fortalece os esforços de cultura de cibersegurança
À medida que as organizações crescem, desenvolver esforços sólidos de cibersegurança é essencial. A Axonius fornece às empresas as soluções necessárias não apenas para gerenciar mais dispositivos, dados, aplicativos SaaS, acesso e interconectividade, mas também para ajudar as equipes de TI e segurança a construir uma cultura de cibersegurança. Ao automatizar ações baseadas em políticas, a Axonius garante responsabilidade e transparência — elementos-chave de uma cultura de cibersegurança forte.
Fonte texto original: Axonius
Autor do texto original em inglês: Allie Byers
Realizada tradução para português