(Tempo de Leitura: 6 min.)

Você sabe a importância de uma cultura de segurança para o seu negócio?

Empresas que possuem uma cultura de segurança estabelecida e adequada aos seus negócios são menos vulneráveis a incidentes de segurança que envolvem falhas humanas. Isso acontece quando os funcionários possuem conhecimentos, recebem treinamentos de conscientização e sabem como agir em situações que apresentam riscos de segurança.

Nesse artigo, falamos sobre qual a importância e os melhores caminhos para estabelecer uma cultura de segurança na sua empresa. Conversamos com Gil Santos, profissional com 23 anos de experiência no mercado de tecnologia e 15 anos de atuação em Segurança da Informação.

Gil Santos compartilha conosco a importância dos primeiros cem dias do CISO / CSO nas empresas, fornece orientações valiosas sobre liderança de segurança e explica como obter o envolvimento de todas as áreas para o desenvolvimento de uma cultura de segurança.

Continue a leitura do artigo e saiba como estabelecer uma cultura de segurança da informação com um nível adequado de cooperação e conhecimento para tornar o fator humano mais um ativo e não o elo mais fraco da sua gestão de segurança.

Conheça Gil Santos, CISO da Conductor Tecnologia

Conversamos com Gil Santos, profissional com mais de 15 anos de experiência na área de Segurança da Informação. Nosso convidado já passou por empresas dos setores mais diversos, conheça logo a seguir um pouco da trajetória do Gil Santos com relação ao desenvolvimento de uma cultura de segurança pelas empresas por onde já passou.

O ponto de partida foi na empresa NET, onde Gil trabalhou com Gestão e Liderança de Segurança da Informação. Segundo Gil, o seu maior desafio foi enfrentar uma cultura tradicional para a implementação das boas práticas de segurança. Em seguida, na CVC o desafio era “fazer mais com menos”, por isso Gil pode aprender mais sobre ferramentas open-source e colaborar com a criação de uma cultura com base na agilidade.

Para Gil, um dos seus maiores desafios profissionais foi trabalhar para o Magazine Luiza, onde foi preciso derrubar as barreiras entre a área de Segurança e os times técnicos. Como a empresa já possuía uma cultura com base na agilidade, foi mais simples implementar algumas práticas de segurança, como o Security by Design

A trajetória do nosso convidado no setor de meios de pagamento e fintechs se inicia no PicPay. Após ocupar o cargo de CISO da Conductor Tecnologia, Gil continua na área de negócios da empresa, sempre focado em liderança de equipe para viabilização da transformação digital e conscientização das pessoas, promovendo o tema segurança digital na cultura nas organizações.

Conheça a seguir as orientações do Gil Santos a respeito do desenvolvimento e disseminação de uma cultura de segurança dentro das empresas.

Guia prático para estabelecer uma cultura de segurança

Desenvolver uma cultura de segurança nas empresas apresenta desafios dos mais diversos. Dentre eles, a dificuldade em estabelecer uma comunicação efetiva para os colaboradores, realizar atividades de conscientização eficientes e, principalmente, o complicado relacionamento da área de segurança com as demais áreas da empresa. 

Nosso convidado, Gil Santos trabalhou em empresas de diversos segmentos e possui uma vasta experiência no que diz respeito ao desenvolvimento de uma cultura de segurança nas empresas. A seguir, Gil traz contribuições valiosas para os CISO / CSO que enfrentam os primeiros cem dias em uma empresa e possuem o desafio de implantar uma cultura de segurança adequada para os negócios. 

Abordagem Conciliadora

Gil nos conta como um bom gestor de segurança precisa desenvolver uma abordagem conciliadora entre a sua área e as demais áreas da empresa, visando manter as melhores práticas de segurança e privacidade em cooperação com o negócio. Para tal, os gestores devem desenvolver suas habilidades interpessoais acima das demais, com ênfase na comunicação.

“O gestor de segurança deve saber conversar com times técnicos, assistentes pessoais e executivos utilizando uma linguagem compreensível para cada público. (…) Para um gestor que acaba de assumir a área de segurança em uma empresa, ele precisa buscar conhecer as pessoas e se integrar de como a segurança é encarada pela empresa. (…) Além disso, é necessário identificar de imediato as pessoas-chaves para tomada de decisão e assim desenvolver um relacionamento com elas sempre utilizando uma linguagem apropriada.”

O bom uso das habilidades interpessoais costuma trazer benefícios para os primeiros cem dias de um CISO / CSO em uma empresa, e quando combinadas com os conhecimentos nas boas práticas de segurança contribuem para o desenvolvimento de uma forte cultura de segurança

Portanto, nosso convidado esclarece dois pontos muito importantes para o desenvolvimento de uma cultura de segurança adequada para cada empresa. Um deles é a necessidade dos gestores de segurança comprovarem o ROI dos investimentos de segurança realizados pela empresa. Outro ponto é entender junto aos executivos e diretoria o apetite a riscos da empresa com relação a área de segurança, assim é mais viável desenvolver uma cultura de segurança apropriada ao entendimento dos riscos.

Gestão do Time 

Um dos pontos mais importantes trazidos pelo Gil para a formação de uma cultura de segurança é o time. As pessoas são peças fundamentais para a promoção ou inviabilização de um novo comportamento dentro das empresas, por isso os profissionais devem ser envolvidos e considerados a todo momento.

Para isso, é necessário investir no desenvolvimento das pessoas e aproveitar os talentos de cada profissional. Segundo Gil, essas são as maiores dificuldades enfrentadas pelos gestores atualmente. 

“Uma das responsabilidades de um gestor ou líder de segurança é desenvolver um time coeso. Isso não é simples de fazer, pois cada vez mais as empresas exigem que os profissionais atuem e dominem áreas diferentes das suas especializações. (…) Eu tenho visto por aí as empresas colocarem um bom profissional técnico para atuar na liderança e vice-versa. (…) Isso desfalca o time e pode trazer desmotivação aos profissionais envolvidos.”

Para construir uma cultura de segurança forte é preciso contar com profissionais motivados para disseminar as práticas e conhecimentos sobre os pilares de segurança. De acordo com o nosso convidado, um profissional pode estar desmotivado apenas por executar algo diferente do seu talento, e contribuir para a rotatividade na área de segurança dentro das empresas.

Gil enxerga o desenvolvimento de carreira do profissional como solução a alta rotatividade nas equipes de segurança. Para o nosso convidado, é necessário alinhar expectativas de crescimento a todo momento e aperfeiçoar as habilidades e talentos dos profissionais. 

Funcionamento da Empresa

Gil conclui sobre a importância dos primeiros cem dias de um novo gestor de segurança dentro da empresa. Segundo nosso convidado, esse período é determinístico para o desenvolvimento de uma cultura de segurança, assim os gestores precisam conhecer o histórico anterior da segurança dentro da empresa e a existência de incidentes traumáticos.

“Eu entendo que leva mais do que cem dias para conhecer a empresa e formar uma cultura de segurança, porém os gestores devem ficar atentos a alguns pontos. Primeiramente, deve-se observar como a empresa trata os funcionários e toma decisões, isso é um bom termômetro para compreender a cultura atual. (…) Em seguida, você como gestor deve compreender se precisa de reforços, conversar com fornecedores e identificar aliados e inviabilizadores das mudanças propostas por você.”

Como complemento, Gil explica a importância dos gestores utilizarem as ferramentas já disponibilizadas pela empresa antes da contratação de novas ferramentas ou fornecedores.

Ferramentas para disseminar uma cultura de segurança  

Além das recomendações anteriores para a criação de uma cultura de segurança dentro das empresas, Gil menciona algumas ferramentas e também esclarece práticas que devem ser evitadas a todo custo pelos gestores de segurança para o desenvolvimento da cultura.

Ferramentas

Segundo Gil, as ferramentas mais bem-sucedidas são treinamentos e atividades lúdicas com os funcionários. Para tal, ele conta que é fundamental uma forte parceria com o setor de Recursos Humanos para a construção de uma cultura de segurança na empresa.

“O que eu tenho feito para construir uma cultura de segurança mais leve é envolver o assunto desde o onboarding de novos funcionários em parceria com o Recursos Humanos. (…) Considerando a empresa como um todo, investimos em campanhas de phishing, workshops baseados em gamificação e competições de CFT (Capture The Flag). (…) Para isso, é importante ter um bom relacionamento com as áreas de Recursos Humanos e Marketing, pois fazemos muito uso das ferramentas de comunicação adotadas pela empresa para falar e ensinar sobre segurança.”

Relacionamento com as demais áreas

Por cada empresa possuir uma cultura diferenciada, muitas vezes não sabemos quais práticas e ferramentas vão ser mais aceitas pelos funcionários. Porém, Gil esclarece alguns erros recorrentes que os gestores de segurança costumam cometer nos primeiros cem dias dentro da empresa.

“Em relação às atitudes e comportamentos que dificultam a disseminação de uma cultura de segurança dentro das empresas, eu posso citar os gestores que assumem a área de segurança e costumam apenas apontar as falhas. (…) Outro comportamento bastante conhecido da área de segurança é negar pedidos das outras áreas, mas sem explicar os motivos ou não apresentar outras alternativas a solicitação. (…) É preciso saber construir pontes e derrubar as barreiras entre segurança e as outras áreas. Afinal, estamos todos no mesmo barco.”

Considerações Finais

Para construir uma cultura de segurança relevante e adequada para cada empresa, é importante dominar o funcionamento de como a cultura atual funciona e a partir disso incluir práticas e ferramentas da segurança. Isso quer dizer que os gestores de segurança precisam saber como a empresa resolve problemas, lida com as desmotivações dos funcionários e se posiciona diante aos riscos de negócios.

Gil Santos menciona como o comportamento atual da área de segurança dentro das empresas precisa ser revisto com urgência. A área de segurança costuma ser vista como a área do “não”, no sentido de negar os pedidos e solicitações das outras áreas visando evitar o surgimento de incidentes de segurança.

Esse fato contribui de forma negativa para a formação de uma cultura de segurança, pois cria barreiras de comunicação e impede que a segurança atue como facilitadora da inovação dos negócios das empresas. Portanto, Gil relembra a necessidade dos gestores encararem a área de segurança como parceira do negócio e entender que as outras áreas da empresa são os seus clientes internos, buscando sempre que possível a satisfação desses clientes em acordo com as práticas de segurança.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar Bela Vista – São Paulo/SP CEP 01228-200
+55 (11) 4395-1322
[email protected]

Siga-Nos