Por: Perry Carpenter, Chief Evangelist and Strategy Officer, KnowBe4

É bom que o uso crescente da expressão cultura de segurança sinalize uma compreensão crescente de que a simples consciencialização em segurança não é suficiente. E – mais importante ainda – sinalize que as pessoas compreendem que as tecnologias de segurança não oferecem proteção total nem suficiente contra violações de dados.  

Então, qual é a parte sobre o uso crescente da expressão cultura de segurança? É esta: a maioria das pessoas usa a expressão cultura de segurança sem saber o que significa. Isso é um problema. 

Deixe-me pôr isso em perspetiva. Em The Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense Layer, Kai Roer e eu resumimos os resultados de um estudo realizado pela Forrester Consulting em nome da KnowBe4. Nesse estudo com mais de 1.000 profissionais de segurança com responsabilidade a nível de gestor ou superior, a Forrester concluiu que 94% dos inquiridos acreditam que uma cultura de segurança forte é um componente crítico de um bom programa de segurança. Isso é ótimo – mas o lado negativo foi que o estudo também concluiu que não havia consenso geral sobre o que isso significava. Cerca de 750 definições distintas e diferentes foram dadas pelo conjunto de respondentes. O leque de definições era bastante amplo, mas enquadrava-se em 5 grandes categorias, como segue:  

• 29% dos inquiridos acreditavam que a cultura de segurança é o cumprimento das políticas de segurança.  

• 24% disseram que era ter consciencialização e compreensão das questões de segurança.  

• 22% disseram que era o reconhecimento de que a segurança é uma responsabilidade partilhada em toda a organização.  

• 14% indicaram que tinha algo a ver com o estabelecimento de grupos formais de pessoas que pudessem ajudar a influenciar as decisões de segurança. 

• 12% disseram que uma boa cultura de segurança significava que a segurança estava incorporada na organização. 

Agora imagine ter uma discussão numa sala cheia de 1.000 pessoas e pedir a todos os que acreditam que X é importante para levantarem a mão. Se 94% das pessoas levantarem a mão, poderá pensar que todos estão alinhados e que o único trabalho a fazer é motivar as pessoas a agir de acordo com a sua convicção. Depois envia-os para executar o que acreditam e, de repente, toda a gente se dispersa… não tinham uma compreensão clara de para onde deveriam ir nem de como lá chegar. Situações como esta pertencem a sketches de comédia, não fazem parte das suposições inconscientes que orientam os nossos programas de segurança e gestão de risco. 

É por isso que as definições são importantes. 

Então, o que é cultura de segurança? Eis uma definição que nós (Kai Roer e eu) propomos, baseada em investigação profunda nas ciências sociais: 

Cultura de Segurança é o conjunto de ideias, costumes e comportamentos sociais de uma organização que influenciam a sua segurança. 

A cultura de segurança também pode (e deve) ser medida para que a sua organização possa começar a compreender onde está e para onde quer ir. Por outras palavras, compreende em que consiste a cultura de segurança para a poder medir. E mede-a para poder começar a melhorá-la. 

Quando se trata de medir a cultura de segurança, recomendamos avaliar sete dimensões distintas:  

• Atitudes: Sentimentos e crenças dos colaboradores sobre protocolos e questões de segurança. 

• Comportamentos: Ações dos colaboradores que afetam a segurança de forma direta ou indireta. 

• Cognição: Compreensão, conhecimento e consciencialização dos colaboradores sobre questões e atividades de segurança. 

• Comunicação: Quão bem os canais de comunicação promovem um sentimento de pertença e oferecem apoio relacionado com questões de segurança e reporte de incidentes. 

• Conformidade: Conhecimento e apoio dos colaboradores às políticas de segurança. 

• Normas: Conhecimento e cumprimento, por parte dos colaboradores, das regras de conduta não escritas relacionadas com a segurança.

• Responsabilidades: Como os colaboradores percecionam o seu papel como um fator crítico para ajudar ou prejudicar a segurança.

Até agora, já consegue ver claramente que a cultura de segurança pode ser um conceito bastante profundo. Ela vai ao cerne do que as pessoas pensam, do que valorizam, das ações que escolhem tomar, das ações que escolhem evitar, de como interagem entre si e muito mais. Por outras palavras, a sua cultura de segurança é o coração pulsante da forma como as pessoas se envolvem com o seu programa de segurança, o seu ecossistema de TI, os seus dados e todos os outros aspetos relacionados com a segurança da sua organização.   

Como temos visto ao longo dos últimos anos, a grande maioria das violações de dados pode ser atribuída à engenharia social ou a alguma forma de erro humano. Vamos ser sinceros… precisamos de fazer melhor. As nossas tecnologias não são adequadas para fornecer formas infalíveis de proteger dados. E a consciencialização – por si só – não é suficiente para moldar crenças, valores, comportamentos e normas sociais. O melhor caminho a seguir é melhorar continuamente a tecnologia que temos, assumindo simultaneamente o compromisso de dar um enfoque intenso e intencional à construção da nossa camada humana.