As tecnologias emergentes, como o data mining e os algoritmos, entraram nas nossas vidas de uma forma holística, moldando a nossa existência política, social e moral. Esta é uma realidade difícil de ignorar, trazendo sérias preocupações sobre os impactos que isto pode ter nas gerações atuais e futuras. A tecnologia que criamos gera novos casos de uso, oportunidades e perigos. Diariamente, tomamos conhecimento de incidentes de segurança que afetam organizações, podendo incapacitá-las tanto operacional quanto financeiramente, ou afetando a sua reputação perante investidores, parceiros ou clientes, mesmo quando o impacto é de pequena dimensão ou não compromete informações confidencias.
A tecnologia não é, hoje em dia, apenas uma ferramenta para apoiar o cálculo ou a pesquisa avançada de informação. A extensão do mundo tecnológico ao social é de tal grandeza que as estratégias de minimização dos riscos tecnológicos baseadas em tec (technology-centric approach) já não são suficientes. Assistimos à introdução de ferramentas novas de comunicação e relacionamento que minimizam as distâncias físicas e facilitam a comunicação entre partes. O risco associado agrava-se quando se misturam as esferas profissionais e pessoais na utilização de dispositivos, aplicações e sistemas. A adoção difundida deste “digital”, independemente da faixa etária e do status social, veio mudar drástica e estruturalmente a forma como nos relacionamos em sociedade e, consequentemente, nas organizações, questionando as estratégias anteriormente adotadas e promovendo a reflexão sobre o “novo” significado de sociedade.
Entende-se que o papel social da tecnologia, centrado assim nas pessoas (i.e., no uso, nos comportamentos e suas demais necessidades), obriga a uma abordagem de tratamento e de segurança da informação igualmente focada nas pessoas (people-centric approach). Abordagem esta que realça a confiança e a responsabilidade individual e desestimula controlos de segurança preventivos e restritivos. Contudo, esta abordagem apresenta um risco altíssimo que se prende com a perceção de cada indivíduo sobre os princípios que regem a segurança da informação. Para a mitigação deste risco é necessário promover uma transformação cultural da segurança, em que a organização precisa não só de perceber o que as pessoas fazem com a tecnologia, mas também o porquê da sua utilização. Pensar esta abordagem implica entender os princípios culturais e as crenças que movem o ser humano para a transformação da cultura de segurança da informação da sua organização, através de comportamentos mais responsáveis e ajustados ao tratamento da informação. A promoção desta estratégia tem de ir mais além dos tradicionais programas de sensibilização e formação, devendo promover um ambiente de trabalho que facilite a tomada de decisão ou iniciativa por parte do colaborador, passando por:
- Responsabilizar os colaboradores pelo seu comportamento na utilização dos meios digitais que lhe são disponibilizados;
- Promover uma compreensão clara das consequências pessoais resultantes de decisões e comportamentos individuais, bem como a compreensão da ligação entre comportamentos indesejados e ações resultantes.
- Criar um programa de formação e treino que incorpore o conhecimento pretendido a todos os colaboradores e adaptado às características dos diferentes perfis.
Transformar a cultura de segurança de uma organização exige o desenvolvimento de políticas e a implementação de tecnologia. Contudo, é importante entender e aceitar o papel fulcral e central que as pessoas hoje desempenham neste domínio assim como o risco que acarretam.
Carla Zibreira, Head of Consultancy na S21sec
