Companhia investe na maturidade da Segurança da Informação com apoio do corpo diretivo e extensão para toda empresa. Ao rodar as avaliações de treinamento, o resultado serve para orientar novas iniciativas de aprimoramento de controles e redução de riscos cibernéticos
A cada dia, empresas dos mais diversos setores da economia têm buscado dar mais atenção ao tratamento oferecido aos dados sob sua gestão e proteção, sejam eles de clientes, parceiros ou mesmo de funcionários. Devido às mudanças no cenário legal da regulamentação da administração de informações, esse tem sido um imperativo em todas as instituições que preservem conteúdos sensíveis, como é o caso da Eletrobrás.
A companhia tem como grande desafio atuar com infraestrutura crítica e geração de energia, uma falha cibernética pode impactar milhares de vidas. Ao interagir com uma quantidade significativa de informações sensíveis, torna-se desafiador preservar a eficácia de controles e monitoramentos dos processos ligados a dados pessoais.
“Vivemos em um momento de forte pressão por transformação digital e virtualização em serviços de nuvem, promovendo o empoderamento e autonomia dos usuários finais. É permanente o esforço na busca pelo equilíbrio entre velocidade e evolução, itens exigidos pelo negócio, juntamente com controles e processos previstos para o tratamento adequado de dados pessoais”, afirma Daniel Beltran, DPO da Eletrobras, em entrevista à Security Report.
Beltran explica que a companhia de geração e transmissão de eletricidade vê o gerenciamento correto de dados pessoais como algo imperativo nas operações de fornecimento. Assim, a Eletrobras tem buscado investir na maturidade da Segurança da Informação rodando avaliações anuais e usando o resultado para orientar novas iniciativas de aprimoramento de controles e redução de riscos cibernéticos. Estas iniciativas são coordenadas pelo Subcomitê de Privacidade e incluem melhorias de normativos e sistemas de suporte à proteção de dados.
O executivo explica que medidas estão sendo tomadas cotidianamente pela Eletrobras visando aprimorar a resiliência contra ciberataques. O DPO cita como exemplo a existência de um SOC; a realização constante de testes de intrusão, simulação de resposta a incidentes e de phishing; além do respeito a índices de ESG, com responsabilidades definidas por um regulamento interno, mantido pela Alta Administração.
A Segurança da Informação é vista como prioridade na matriz de riscos da corporação, monitorado através de reportes periódicos ao Conselho Administrativo, o qual define metas e acompanha as iniciativas estabelecidas. Esse processo promove então melhoria contínua na maturidade em Cyber Security.
Segurança disseminada
Esse comprometimento dos gestores da Eletrobras com a Cibersegurança se replica também no corpo de funcionários. Além de treinamentos gerais e obrigatórios a todos os colaboradores, são realizados eventos como workshops e seminários, sempre no intuito de sensibilizar e preparar o funcionário para atuar com competência e ética no tratamento dos dados pessoais sob sua responsabilidade.
“Neste ano, estamos iniciando treinamentos específicos em determinados processos de negócio como Gestão de Pessoas e Gestão de Fornecedores. Além disso, iniciaremos ainda em 2023 o uso de uma plataforma especializada em capacitações, campanhas e simulações, com foco em Segurança da Informação e privacidade”, acrescenta Beltran.
Cultura sólida
Através dessa sequência de ações em favor da Cibersegurança e da Proteção de Dados, a Eletrobras tem experimentado um avanço da maturidade, reconhecido especialmente no NIST. Todavia, Beltran aponta que a melhor demonstração de mudança está no nível elevado de participação de todas as camadas de funcionários da Eletrobras. Isso demonstra a formação de uma cultura sólida de Privacidade e Cibersegurança.
“No dia a dia percebemos maior interesse dos colaboradores em relação ao tema, preocupados em agir corretamente e de forma segura nas ações cotidianas. Durante as campanhas de simulação de phishing, por exemplo, o tema é bastante comentado nos corredores e somos questionados sobre se é uma tentativa real ou uma simulação de fato, muitas vezes em tom descontraído, mostrando que as pessoas estão atentas. Isso comprova que nosso objetivo está sendo alcançado”, conclui Beltran.
