O papel do RH nos programas de conscientização em cibersegurança
Em muitas organizações, a iniciativa de realizar um programa de conscientização em cibersegurança parte do departamento de tecnologia da informação (TI) ou da equipe responsável pela segurança corporativa. Contudo, ensinar boas práticas sobre segurança e manter os colaboradores informados sobre ameaças é, em última análise, uma questão humana e isso significa que a área de Recursos Humanos tem muito a contribuir.
Pesquisas sugerem que mais de 90% dos ataques cibernéticos são viabilizados por uma falha humana, como um clique ou uma interação indevida com um atacante. Apesar da preponderância do fator humano no risco cibernético, há algumas questões que dificultam a compreensão do problema.
Uma delas é que os riscos decorrentes da tecnologia raramente são tão intuitivos quanto outros riscos ocupacionais. A maioria das pessoas entende o risco de uma queda, de um ruído muito elevado ou de uma instalação elétrica precária. Porém, nem sempre existe a mesma percepção sobre o risco intangível de abrir um anexo ou clicar em um link. Como muitos riscos do mundo online são provocados por cibercriminosos, o perigo só fica evidente quando conhecemos a mentalidade do invasor.
Quanto maior for a compreensão sobre os ataques, mais visíveis ficarão a relevância do fator humano na cibersegurança e o valor das contribuições do departamento de RH, que acompanha toda a trajetória do colaborador.
Como o RH pode contribuir?
Um dos principais objetivos do programa de conscientização em segurança é influenciar a cultura da empresa. Quando o colaborador compreende que será valorizado por agir de forma responsável durante seu trabalho, é mais provável que ele se preocupe com os riscos ou prejuízos que suas atitudes podem desencadear.
Cultura
O RH é o primeiro ponto de contato de um colaborador com a empresa e, normalmente, também o último. Sendo assim, a postura do RH na comunicação com candidatos e novos colaboradores já apresenta aspectos da cultura da organização.
É importante lembrar que o RH também guarda os dados pessoais dos colaboradores. Demonstrar consciência sobre essa responsabilidade é uma das formas de expressar o valor da segurança e da privacidade.
Os benefícios concedidos pela empresa: plano de saúde, clubes, vale-refeição, entre outros, muitas vezes estão atrelados a plataformas digitais e estão na mira de golpistas, o que significa que os colaboradores devem ser orientados a usá-los com segurança. A situação inversa ocorre quando o colaborador sai da empresa. Nesse caso, é necessário garantir que ele não esteja levando dados sensíveis.
A regulamentação exige cuidados com a segurança. A Lei Geral de Proteção de Dados (LGPD) e outras regras brasileiras e internacionais preveem punições para as empresas que violarem dados pessoais. Se a função do colaborador envolver dados protegidos, é importante que ele conheça as regras aplicáveis, como o código de ética, desde o primeiro dia de trabalho.
Caso a empresa ainda não tenha adequado seus códigos de conduta, é importante que o RH contribua para atualizar esses documentos e colabore com o departamento de segurança para garantir que todos estejam cientes de suas responsabilidades.
Alcance e integração
O RH pode fortalecer a continuidade da conscientização em segurança. Para que o programa de conscientização não fique isolado e restrito a um único momento ou iniciativa, o departamento de RH pode cooperar com o departamento de TI para incluir treinamentos de segurança, atividades ou discussões dentro de outros encontros e campanhas do RH.
O RH é mais experiente que o departamento de TI para alcançar as pessoas. Há colaboradores que trabalham remotamente ou que frequentemente estão fora do escritório e não têm acesso frequente ao canal utilizado pelo programa de conscientização. O RH muitas vezes já estabeleceu meios para manter contato com esses colaboradores e pode compartilhar essa experiência para ampliar o alcance da iniciativa.
A visão humana na cibersegurança
Cada empresa ou organização tem seus próprios desafios. É importante que seja estabelecido um canal de cooperação constante entre a área de recursos humanos e a segurança digital ou TI para que ambos compreendam as necessidades um do outro.
Assim como profissionais de RH estão aos poucos se sensibilizando sobre o fator humano na cibersegurança, os departamentos de TI e segurança também não têm todas as respostas, principalmente quando as particularidades de cada empresa entram na equação.
Desde que seja compreendida a importância de olharmos para o colaborador como um aliado na tarefa de proteger a empresa, o RH tem muito a contribuir para tornar os programas de conscientização mais humanos.
