Peopleware: Nós, usuários, somos o maior perigo
Hoje em dia, todos sabem a diferença entre hardware e software. O primeiro é o que se chuta, e o segundo é o que se xinga. Brincadeiras à parte, o peopleware é aquela pessoa que você vê no espelho e todas as outras ao seu redor no planeta, ou seja, as pessoas.
Um dos axiomas da segurança da informação é: “uma corrente é tão forte quanto seu elo mais fraco”. Pesquisas mostram que a maior fragilidade nas organizações está em nós, usuários: no Dave, em mim, em você, no Silva, etc.
Primeira Figura – Pesquisa Daryus – 2014.igura 2 – Pesquisa PWC – 2016.
Segunda Figura – Pesquisa PWC – 2016.
Terceira Figura – Pesquisa PWC 2015.
Peopleware – Nós usuários, somos o maior perigo
As razões para as pessoas serem as principais causas de incidentes de segurança da informação são tão variadas quanto a motivação humana. Elas vão desde fraudes para ganhos financeiros, erros de operação, até curiosidade mal direcionada.
Normalmente, as causas raízes dos incidentes começam com a falta de treinamento e qualificação para a utilização dos sistemas informatizados. Além disso, há a falta de adoção de políticas e padrões de segurança da informação pelas instituições.
No final das contas, não faz sentido a empresa gastar uma fortuna em equipamentos e softwares e esquecer dos funcionários que irão operar esses sistemas. Também é insensato que as empresas não tenham políticas nem normas internas para a realização desses acessos, como satiriza a tirinha de cartoon abaixo.
Investimentos em segurança da informação: padrões internacionais e benefícios
Para reverter este quadro, empresas têm investido em projetos de adoção de modelos de segurança da informação baseados em padrões internacionais, como o ISO-27002 e o framework de segurança cibernética do NIST.
A adoção de regras claras e padronizadas para toda a organização traz várias melhorias. Abaixo, segue a lista dos principais benefícios apontados pelos entrevistados no relatório anual de 2016 da PWC:
“Os resultados apresentados neste relatório se baseiam em respostas de mais de 10 mil CEOs, CFOs, CIOs, CISOs, CSOs, VPs e diretores de TI e práticas de segurança de mais de 127 países.”
Peopleware – Nós usuários, somos o maior perigo
Assim, infelizmente, no Brasil, poucos gestores empresariais distinguem o investimento no componente humano de seus negócios de gastos. Embora a aplicação das boas práticas de segurança da informação seja complicada devido ao peopleware, seu retorno é o mais eficaz e eficiente.
Contudo não deixe que seus funcionários se tornem um “Dave da vida”. Em outras palavras se tiver dúvidas, confira este post da Indicca: 12 valores que qualificam sua rede baseado na 27002.
Conclusão: Treinamento como Apoio à Transformação Cultural em Segurança da Informação
O treinamento é uma ferramenta essencial para a transformação cultural dos usuários, incentivando a adoção de boas práticas em segurança da informação. Criar um ambiente preventivo, com estratégias similares às técnicas aprendidas com a CIPA ou AVCB, é fundamental para minimizar riscos e fortalecer a segurança organizacional.
A INDICCA ponto COM se posiciona como um multiplicador de conhecimento, oferecendo suporte contínuo e capacitação para que as empresas possam implementar e manter essas boas práticas de forma eficaz. Com o apoio da INDICCA, as organizações estarão mais preparadas para enfrentar os desafios da segurança da informação, garantindo um ambiente seguro e resiliente.
