Analisamos a relação entre segurança e produtividade e focamo-nos numa série de ações que no âmbito da segurança podem ser vitais para a produtividade de qualquer organização
A produtividade é uma capacidade que se mede em relação ao que se produz e aos meios que lhe são afetos, como é o caso dos recursos. Assim, focamo-nos em como hábitos produtivos podem marcar a diferença quando se trata de proteger os ativos de uma organização. Para além disso, salientamos uma série de ações que promovem a segurança da informação e que servem também para garantir a produtividade na medida em que reduzem a hipótese das empresas serem vítimas de um incidente de segurança.
De seguida, destacamos uma série de ações-chave que deveriam ser tidas em consideração e que contribuem para a melhoria da produtividade.
- Realizar backups da informação
Contar com uma cópia de segurança de toda a informação necessária para o correto funcionamento de uma empresa permite que a produtividade não seja afetada (ou com menos impacto) no caso de sofrer um incidente de segurança, que comprometa os sistemas de informação.
Perder o acesso a arquivos fundamentais pode ter consequências tão graves para a produtividade que podem mesmo levar à falência de uma empresa. De facto, dados de um estudo realizado em 2016 asseguram que 60% das empresas que sofrem perda de informação fecham no prazo de seis meses.
Mas para além de realizar um backup da informação, é importante dedicar tempo a fazê-lo corretamente (estabelecer uma periodicidade e não falhar, ter em consideração o suporte, etc), já que não o fazer da forma correta pode significar tanto a perda de informação como de tempo.
- Implementar uma política de atualização de software
À semelhança do que significa não contar com uma cópia de segurança da informação valiosa para a empresa, não contar com uma política de atualização que assegure a instalação de patches de segurança das ferramentas que utilizem poderia significar a exposição a um ataque ou incidente de segurança. Basta recordar o que aconteceu com o WannaCry, um ransomware que explorava uma vulnerabilidade no Windows para a qual a Microsoft já tinha lançado um patch de segurança que o mitigava, mas que requeria que os utilizadores atualizassem os seus sistemas para que pudessem instalá-lo. No entanto, e uma vez que muitos equipamentos não estavam atualizados sofreram as consequências do ransomware.
É importante ter presente que todo o software é suscetível de precisar de atualizações de segurança. Através destas atualizações, os fabricantes acrescentam melhorias aos produtos, corrigem erros e reparam falhas de segurança. Neste sentido, contar sempre com a última atualização pode evitar que a empresa ou indivíduo seja vítima de uma tentativa de ataque cujo objetivo seja roubar informação e/ou credenciais de acesso.
- Ter um plano de resposta a incidentes
Contar com um plano de resposta a incidentes implica ter ferramentas adequadas que, em caso de incidentes de segurança, permitam recuperar o funcionamento normal de uma empresa, no menor tempo possível, de forma a que não seja prejudicada a produtividade, e tão pouco a sua imagem, ou outras consequências que possam surgir. Neste sentido, este plano que faz, habitualmente, parte de um Sistema de Gestão de Segurança da Informação, funciona como um alinhamento dos passos a seguir para responder de forma adequada em diferentes cenários em que os dados de uma empresa estão em risco.
- Realizar formações em segurança
A capacitação é a chave para evitar incidentes de segurança, já que o ser humano é o elo mais vulnerável em toda a arquitetura de segurança de uma organização. Segundo dados publicados no final de 2018 de um estudo realizado pela IBM, cerca de 95% dos incidentes de cibersegurança devem-se a erros humanos. Com esta informação presente e as consequências na produtividade de uma organização que possa sofrer um incidente de segurança, é que a formação se converte num pilar-chave para a diminuição do risco de incidentes. Como tal, oferecer as ferramentas aos colaboradores para que aprendam a reconhecer as técnicas de fraude utilizadas por hackers, como são as técnicas de engenharia social, são por si uma contribuição para a diminuição de riscos.
- Configurar os acessos segundo o princípio do menor privilégio
Tal como explica o investigador em segurança da ESET, Miguel Ángel Mendoza, a estratégia de limitar o acesso ao que é imprescindível, conhecida como o princípio do menor privilégio, apoia-se na ideia de conceder permissões unicamente quando necessárias para o desempenho de determinada atividade. Desta forma, dedicar tempo e esforço a este modelo reduz o grau de exposição a incidentes reduzindo ao mínimo possível as permissões de acesso. Todavia, há que prestar atenção a que esta limitação de acessos não interfira com as necessidades de cada profissional da empresa, já que mal gerida pode afetar a produtividade da mesma.
Em conclusão, as ações que tenham como objetivo a diminuição de riscos supõem uma melhoria para a produtividade de qualquer empresa, ao reduzir as probabilidades de que alguma ameaça atente contra o seu funcionamento natural. Contudo, há sempre que considerar que não é suposto que tais ações afetem, de forma negativa, a dinâmica laboral.
