A evolução das exigências dos colaboradores e das indústrias ao longo da pandemia levou a que as empresas em toda a região EMEA continuassem a explorar novas formas de trabalho híbrido. Um dos vários benefícios universalmente reconhecidos da transição para este modelo é que muitos podem, agora, desfrutar de um equilíbrio mais saudável entre a vida pessoal e profissional. Contudo, apesar de a sensibilização para a cibersegurança ter aumentado, muitas empresas têm sido vítimas de ataques informáticos e têm mostrado dificuldades em proteger adequadamente as equipas remotas.
A necessidade repentina de uma rápida digitalização para acomodar o trabalho remoto ou híbrido mostrou que muitas organizações não estavam preparadas para tal. Não tinham as ferramentas de segurança adequadas implementadas, o que deu origem a efeitos como a falta de soluções de acesso remoto, RDP (Remote Desktop Protocol) exposto na Internet, ou VPNs que não estavam devidamente corrigidas. Há que salientar ainda o aparecimento de criminosos que utilizam ciberataques com base em engenharia social – por exemplo, fazendo-se passar por elementos do departamento de TI do Twitter e dirigindo-se aos colaboradores remotos para obter acesso a informação de forma clandestina.
Infelizmente, é provável que este tipo de táticas se desenvolva ainda mais este ano, uma vez que os cibercriminosos estão cada vez mais inteligentes e a expandir as suas técnicas. De facto, um relatório da Cynet revela que antes da pandemia cerca de 20% dos ciberataques utilizava malware ou métodos nunca antes vistos, e que este número subiu para 35% durante a pandemia.
Neste novo mundo híbrido, onde as organizações já não trabalham a partir de um escritório centralizado e gerem os negócios diretamente a partir de casa, é mais importante do que nunca que os líderes empresariais estejam cientes da importância de uma cibersegurança sólida. Ela é fundamental para proteger não só a empresa, como também os colaboradores.
Posto isto, que lições aprendemos até agora, e como podem as empresas preparar-se?
A preparação é chave
O primeiro passo para as organizações é uma comunicação clara e um plano de gestão remota. Ter um plano em vigor irá permitir-lhes contactar os colaboradores se a sua plataforma sofrer alguma interrupção, por exemplo. Também podem tomar medidas proativas para proteger os dados, como investir em sistemas de gestão de palavras-passe.
Diversificar a entrega de mensagens
As empresas devem garantir que as suas comunicações e orientações estão adaptadas e são relevantes para a audiência – ou seja, os colaboradores. Um ponto-chave é oferecer-lhes briefings de segurança breves e precisos, mantendo o foco nos resultados e ações, em vez de nas políticas. Isto é útil para assegurar e manter o interesse dos colaboradores, e pode ser levado a cabo de formas mais inovadoras e estimulantes do que através de um PowerPoint.
Devem também considerar métodos de formação inovadores, que já provaram ser altamente eficazes. A utilização de ferramentas simples, como pequenos vídeos educativos sobre como detetar e-mails de phishing, é geralmente bem recebida. As empresas podem também tirar partido de experiências envolventes, como escape rooms virtuais, breakout rooms com desafios e até quizzes ou palavras cruzadas, podendo mesmo ir mais além e oferecer prémios para encorajar o trabalho de equipa e o empenho – afinal, quem é que não gosta de ser recompensado pelo trabalho árduo?
Criar representantes de cibersegurança
Não é segredo que pode ser difícil contactar as equipas de TI e Segurança, e muitas vezes os colaboradores sentem-se afastados desta área da empresa. Se se nomearem “representantes de cibersegurança” dentro da empresa – pessoas de confiança para agir como a voz e os ouvidos da cibersegurança – os colaboradores sentir-se-ão mais confiantes em relação a quem se podem dirigir quando tiverem perguntas.
Isto também é benéfico do ponto de vista empresarial: a segurança por camadas, através de uma rede de representantes, é um ótimo método para aumentar as mensagens de cibersegurança e encorajar uma maior abertura às mesmas.
Recompensar, não castigar
É importante que as organizações encorajem e celebrem as boas práticas de cibersegurança, em vez de castigarem as pessoas por possíveis erros. Os colaboradores nunca vão estar motivados para prestar atenção à cibersegurança se for criado um ambiente de medo em torno dela – na verdade, é mais provável que se desliguem por completo!
O lado humano da cibersegurança
A pandemia levou a que muitas empresas se apercebessem de que estavam, fundamentalmente, em desvantagem. A rápida mudança para o trabalho híbrido deu a muitas o impulso de que precisavam para reforçar a sua posição global no panorama da cibersegurança, tema que é, mais do que nunca, uma prioridade para as empresas, e está agora a ser levado muito mais a sério a nível de gestão – mas este impulso tem de ser continuado e deve evoluir para a educação dos colaboradores.
Estes precisam de compreender por que se devem preocupar com a cibersegurança. Em última análise, trata-se de mais do que tentar proteger um dispositivo ou ligação – trata-se de proteger a identidade dos colaboradores e da empresa que os emprega. Quando se focam no lado pessoal da cibersegurança, as empresas asseguram que as suas mensagens captam a atenção dos colaboradores e são interiorizadas por eles a um nível íntimo.
Estas são, então, as chaves para encorajar uma mentalidade e atitude positivas em relação à cibersegurança, permitindo que as organizações se sintam confiantes de que as suas equipas estão alinhadas, e que quaisquer questões podem ser abordadas em conjunto.
Quentyn Taylor
Director of Information Security for Europe, Middle East and Africa
Canon
