É preciso “bater na mesma tecla”: investir em segurança dos dados é imprescindível e, por mais que os softwares e programas estejam cada vez mais avançados, a verdade é que ainda podem ser prejudicados por falhas e erros humanos.

Uma grande parcela das violações de dados, invasões e ataques cibernéticos ainda se origina em erros básicos do usuário final – tanto o consumidor, que utiliza seu equipamento pessoal, quanto os colaboradores das empresas, que trabalham com a infraestrutura corporativa.

Vale acrescentar: segundo o Gartner Group, 70% das ocorrências de segurança que provocam prejuízos financeiros nos negócios têm alguma relação com pessoas internas da empresa.

Nesse cenário, de nada adianta que seu negócio invista em estratégias e tecnologias sofisticadas de segurança de dados se a equipe não for bem instruída para identificar possíveis brechas que ela mesma pode causar, atuando para evitá-las.

Mas afinal, como fazer um bom treinamento em segurança da informação na sua PME?

O preparo da equipe independe do porte do negócio

Os riscos de segurança que um time despreparado representa são os mais diversos. Podemos falar desde a abertura de um e-mail suspeito que contenha malware até a exposição de dados sigilosos com a perda de um notebook ou a divulgação acidental de informações confidenciais dos clientes na web.

Sério, não é?

A situação se torna ainda mais complicada para as PMEs. Um estudo conduzido pela US National Cyber Security Alliance mostrou que 60% das pequenas e médias empresas que são atingidas por ataques hacker fecham suas portas em 6 meses.

Nesse sentido, se você achava que treinamentos em segurança da informação fossem algo restrito às grandes corporações, está muito enganado. A prática se mostra cada vez mais urgente, mesmo para empresas iniciantes e de menor porte.

Sua PME tem uma boa estrutura de gestão de riscos? Sua equipe está preparada para prevenir e lidar com eventuais problemas de segurança que se apresentarem no dia a dia? Prossiga a leitura e acompanhe nosso guia!

Guia Prático do Treinamento em Segurança da Informação na sua PME

Antes de começarmos com as orientações, aqui vai outro dado: no Brasil, 58% das empresas contam com o treinamento e capacitação de funcionários entre as suas soluções preventivas de segurança da informação. Vamos para as dicas!

1. Primeiro, aposte em um programa de conscientização

Repassar as técnicas de proteção para a equipe, por si só, não garante eficiência na segurança diária. É extremamente importante que seus funcionários de fato entendam os motivos detrás de cada ação e sejam capazes de gerenciar a própria segurança.

Envolvendo toda a equipe do negócio, de diretores a profissionais do nível operacional, aposte em uma comunicação assertiva (em reuniões de treinamento, murais, adesivos nos computadores, e-mails) para explicar aos colaboradores as principais práticas cotidianas de proteção aos dados e suas razões de ser.

Reforce com o time, inclusive, que comunicar as possíveis ocorrências negativas no terreno da segurança é muito melhor do que guardar os incidentes para si. Enfatize, ainda, que a gestão está sempre aberta para conversar e orientar acerca do assunto.

2. Crie e institua a Política de Segurança da Informação da empresa

Se o seu negócio ainda não contar com uma Política de Segurança da Informação elaborada, essa é a hora. Todo bom treinamento na área deve ser pautado pelo documento, que planeja as ações, técnicas e boas práticas para proteger os dados corporativos.

O próximo passo, portanto, é comunicar e divulgar essa política (que é uma verdadeira bússola das ações de segurança) para todos os colaboradores, visando instaurar hábitos mais seguros na rotina de todos e, em consequência, implementar uma cultura de segurança na empresa.

Envolver a equipe no processo de criação da Política também pode ser uma boa estratégia, explicando para todos o conceito e os objetivos do documento e explorando situações de dia a dia que justificam as medidas de prevenção. Engajamento é fundamental!

Saiba Mais: Política de backup: conceito, importância e dicas de elaboração

3. Divida o treinamento em ciclos

Um aspecto-chave do treinamento é garantir que as informações sejam repassadas no ritmo adequado, que acompanhe a evolução dos funcionários. Para não “pular etapas” e correr o risco de deixar passar informações importantes, estruture a capacitação em módulos ou ciclos evolutivos.

A estratégia também é interessante para dar mais atenção a determinados grupos ou setores que precisarem de orientações específicas (como a equipe de TI, por exemplo).

treinamento em seguranca da informacao 2

4. Manual das boas práticas

A adoção de boas práticas de segurança é a principal etapa do treinamento. Enquanto alguns dos hábitos são válidos para todos os times, outros podem exigir adaptações específicas para cada equipe ou cargo (gestores têm uma responsabilidade maior na gestão de dados e a equipe de TI está envolvida de forma mais direta nas atividades de monitoramento e prevenção da segurança de dados).

Confira algumas das principais medidas que devem ser repassadas para o time:

  • Solicite que os colaboradores sempre bloqueiem o computador ao se ausentarem da mesa de trabalho, ainda que rapidamente;
  • Treine os funcionários sobre quais dados não podem ser compartilhados com pessoas de outros setores ou externas à empresa;
  • Instrua o time a nunca disponibilizar senhas e logins, mesmo que para colegas de trabalho;
  • Instrua o time a identificar situações de risco, assim como as melhores formas de proceder;
  • Peça que a equipe não ignore as solicitações de atualização e mantenha sempre softwares atualizados;
  • Se a empresa permitir o uso de redes sociais, oriente para que o time não divulgue informações sigilosas ou faça contatos com desconhecidos nos computadores corporativos;
  • Oriente o time a identificar e não clicar em anúncios chamativos que possam conter malware, assim como ter discernimento ao fazer downloads diversos, além de baixar arquivos de e-mails (mesmo que seja o e-mail corporativo). E-mails suspeitos ou  enviados por usuários desconhecidos também exigem cuidado redobrado;
  • Solicitar que a equipe reporte ao time de TI qualquer desconfiança ou suspeita relativas a atividades na internet;
  • Instituir a política de criação de senhas fortes e que sejam obrigatoriamente alteradas de tempos em tempos;
  • Não permitir que os funcionários tirem fotos do ambiente de trabalho (tela de computador e documentos);
  • Instituir uma forte política de acesso dos dados empresariais, liberando o acesso aos dados confidenciais e estratégicos apenas para a alta gestão.

5. Crie sanções para reforçar e repreender comportamentos

É claro que o treinamento e a informação devem vir antes das penalidades e repreensões por comportamentos inadequados. Não por acaso, essa dica veio em último lugar no nosso manual.

É importante, porém, formalizar em documento quais são as possíveis punições para quem compartilhar informações corporativas de maneira espontânea, além de enumerar as consequências para os colaboradores que não respeitarem as determinações da Política de Segurança.  

Antes que essas decisões entre em vigor, no entanto, reforçamos que o treinamento deve ter sido realizado com eficácia e clareza para o time.

Por fim, além do treinamento, vale a pena ressaltar que o negócio deve assegurar a proteção  com o uso de antivírus, procedimentos eficientes de backup, criptografia, firewalls e mecanismos de autenticação, dentre outros.

Para ajudar você a potencializar a segurança da informação na sua empresa, elaboramos um Guia Definitivo para proteger seu negócio contra o Ransomware, o crime virtual que tem feito cada vez mais vítimas no Brasil e no mundo.

FAÇA O DOWNLOAD  GRATUITO DO MATERIAL:

Deixe um comentário

×