Home > Gestão

5 sinais de que a cultura de segurança da sua organização é tóxica…

... e 5 maneiras como corrigi-la. Líderes do setor apontam sinais reveladores de que a cultura de segurança precisa de atenção

carla

03/09/2019 às 16h25

Foto: Shutterstock

Se a cultura corporativa é o coração e a alma de uma empresa, sua cultura de segurança é a sua guardiã onipresente.

Mais do que apenas políticas e procedimentos estabelecidos, a cultura de segurança de uma empresa é o sistema operacional "social" que influencia e orienta os funcionários a integrar a consciência e os comportamentos de segurança em suas vidas diárias. Quando a cultura de segurança começa a desmoronar, seja dentro da própria equipe de segurança ou entre a equipe de segurança e o restante da organização, pode ser criado um ambiente tóxico de práticas cibernéticas.

Na lista abaixo, líderes do setor apontam cinco sinais reveladores de que a sua cultura de segurança é tóxica e orientam como alcançar o sucesso.

Jogo da culpa

Quando um incidente significativo acontece, o foco em um ambiente tóxico é imediatamente encontrar um culpado, diz Rob Clyde, diretor do conselho da ISACA. Nesses casos, a organização procura um bode expiatório - alguém para demitir. “Olhe para o tempo médio que a liderança se mantém na empresa. Se for por menos de três anos, é um sinal de alerta provável.”

De acordo com uma pesquisa com 408 CISOs, realizada pela Nominet, o tempo médio que um CISO permanece nas empresas é inferior a três anos. Para quase um terço dos entrevistados (30%), o período é menor que dois anos. "Você acaba com uma organização em constante estado de fluxo", acrescenta Clyde.

O cinismo cresce

O cinismo é o comportamento tóxico mais fácil de detectar, afirma Karen Worstell, CEO do W Risk Group e fundadora do MOJO Maker for Women in Tech. “Quando você ouve as pessoas falarem sobre a administração ou sobre a vida de uma maneira cínica - é sinal de alerta. Isso mostra que há estresse e angústia. [...] Quando as pessoas não têm uma maneira de gerenciar e conter essas sensações, isso começa a crescer.”

Segundo Worstell, fazer o mínimo, ou apenas o suficiente para sobreviver, também indica um ambiente de segurança tóxico, já que o monitoramento e a atenção aos detalhes começam a falhar.

Aumentam vulnerabilidades internas

Quando a cultura de segurança começar a dar errado, as métricas mostrarão sinais, como um aumento nas vulnerabilidades internas, explica Wesley Simpson, diretor de operações do (ISC)2. “Sabemos que 20% das violações acontecem dentro da organização e provêm dos funcionários. Você está vendo, mês após mês, mais vulnerabilidades do que o normal?”

Essa mudança pode ser um sinal de que os colaboradores estão desinformados ou simplesmente que eles não se importam com os cuidados de segurança. Taxas de rotatividade mais altas também apontam para a insatisfação no trabalho.

A resposta é geralmente "não"

Para Kevin Richards, chefe global de consultoria de risco cibernético da Marsh LLC, se a primeira resposta que sai da boca da equipe de TI for "não", tudo indica um ambiente tóxico. Quando repreendidas, as pessoas encontram maneiras de burlar o departamento de segurança, o que cria inúmeros riscos desconhecidos.

O especialista aponta o caso de uma agência de publicidade que concordou com clientes que queriam executar de 15 a 20 ambientes em nuvem para cada projeto, porque o cliente não queria lidar com a sua própria equipe de segurança. "É mais fácil para eles apenas fornecer [à agência de publicidade] os dados básicos", declara.

A maioria dos funcionários “nunca foi informada de que encontraram uma maneira diferente de fazer isso”, diz Richards. “Quantas pessoas desenvolveram seus próprios recursos de colaboração porque era muito difícil fazê-lo 'da maneira certa' dentro de sua própria empresa? Eles não estão tentando ser mal intencionados ou agregar riscos à empresa, estão apenas tentando fazer seu trabalho.”

A equipe de segurança está isolada

Quando a equipe de segurança é muito isolada e focada apenas no seu trabalho, não é incentivada a estabelecer relacionamentos e formar rede com toda a organização, criam-se barreiras prejudiciais para a empresa, diz Emily Mossburg, diretora da Deloitte & Touche LLP.

"Isso cria limites entre a segurança e o resto da organização e sufoca o pensamento", acrescenta Mossburg. “É quase como a equipe cibernética contra o resto da organização.”

Como obter a cultura de segurança que você deseja

A mudança de cultura ideal pode levar anos para ser concluída, mas há várias etapas que podem ser estabelecidas para começar a colocar uma cultura de cibersegurança descarrilada de volta aos trilhos.

Ajude a equipe de segurança a ter uma perspectiva

Dentro da equipe de segurança, os líderes devem aprender a lidar com situações que parecem impossíveis e "olhar de outros ângulos para ver que coisas criativas podemos fazer sobre isso", afirma Worstell. “Concentre-se no que está dentro da nossa esfera de controle. Como podemos reformular isso em outra perspectiva que não sobrecarrega o indivíduo?”

Encontre maneiras de dizer "sim"

Os líderes de segurança devem ajudar ativamente a organização a encontrar maneiras de realizar melhor seu trabalho dentro da construção das diretrizes de segurança. Na maioria das vezes, os funcionários seguem essas sugestões se entenderem por que isso torna a empresa mais segura, diz Richards.

Tenha um plano de gerenciamento de cultura de segurança cibernética

Segundo pesquisa realizada pela ISACA com 4.800 profissionais de negócios e tecnologia, 42% das organizações não tinham um plano ou política de gerenciamento de cultura de segurança cibernética que descrevesse objetivos e responsabilidades dos funcionários. Para Clyde, esse é o primeiro passo para uma cultura de cibersegurança.

Dedique fundos para treinamento e ferramentas de segurança cibernética

As organizações que relatam uma lacuna significativa entre a cultura atual e a desejada investem apenas 19% do orçamento anual de segurança cibernética em treinamentos e ferramentas. Já as empresas que acreditam que sua cultura de cibersegurança está firmada dedicam mais que o dobro dos recursos (43%).

"A melhor coisa que você pode fazer para melhorar sua cultura é investir em seu pessoal", declara Clyde. "Precisamos resistir à tentação de adicionar mais funcionários (para resolver problemas de segurança cibernética) em vez de investir nas pessoas que temos."

Estabeleça relacionamentos com os negócios

Os líderes de segurança precisam ser mais abertos, mais conectados em rede e mais transparentes com o restante da organização para criar uma cultura de segurança proativa, e não reativa, defende Mossburg. Quando o fizerem, "cumprirão sua missão mais facilmente".

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail