Cultura de Segurança na Eletrobras é top-down

Compartilhar:

Companhia investe na maturidade da Segurança da Informação com apoio do corpo diretivo e extensão para toda empresa. Ao rodar as avaliações de treinamento, o resultado serve para orientar novas iniciativas de aprimoramento de controles e redução de riscos cibernéticos



A cada dia, empresas dos mais diversos setores da economia têm buscado dar mais atenção ao tratamento oferecido aos dados sob sua gestão e proteção, sejam eles de clientes, parceiros ou mesmo de funcionários. Devido às mudanças no cenário legal da regulamentação da administração de informações, esse tem sido um imperativo em todas as instituições que preservem conteúdos sensíveis, como é o caso da Eletrobrás.


A companhia tem como grande desafio atuar com infraestrutura crítica e geração de energia, uma falha cibernética pode impactar milhares de vidas. Ao interagir com uma quantidade significativa de informações sensíveis, torna-se desafiador preservar a eficácia de controles e monitoramentos dos processos ligados a dados pessoais.


“Vivemos em um momento de forte pressão por transformação digital e virtualização em serviços de nuvem, promovendo o empoderamento e autonomia dos usuários finais. É permanente o esforço na busca pelo equilíbrio entre velocidade e evolução, itens exigidos pelo negócio, juntamente com controles e processos previstos para o tratamento adequado de dados pessoais”, afirma Daniel Beltran, DPO da Eletrobras, em entrevista à Security Report.


Beltran explica que a companhia de geração e transmissão de eletricidade vê o gerenciamento correto de dados pessoais como algo imperativo nas operações de fornecimento. Assim, a Eletrobras tem buscado investir na maturidade da Segurança da Informação rodando avaliações anuais e usando o resultado para orientar novas iniciativas de aprimoramento de controles e redução de riscos cibernéticos. Estas iniciativas são coordenadas pelo Subcomitê de Privacidade e incluem melhorias de normativos e sistemas de suporte à proteção de dados.


O executivo explica que medidas estão sendo tomadas cotidianamente pela Eletrobras visando aprimorar a resiliência contra ciberataques. O DPO cita como exemplo a existência de um SOC; a realização constante de testes de intrusão, simulação de resposta a incidentes e de phishing; além do respeito a índices de ESG, com responsabilidades definidas por um regulamento interno, mantido pela Alta Administração.


A Segurança da Informação é vista como prioridade na matriz de riscos da corporação, monitorado através de reportes periódicos ao Conselho Administrativo, o qual define metas e acompanha as iniciativas estabelecidas. Esse processo promove então melhoria contínua na maturidade em Cyber Security.


Segurança disseminada  

Esse comprometimento dos gestores da Eletrobras com a Cibersegurança se replica também no corpo de funcionários. Além de treinamentos gerais e obrigatórios a todos os colaboradores, são realizados eventos como workshops e seminários, sempre no intuito de sensibilizar e preparar o funcionário para atuar com competência e ética no tratamento dos dados pessoais sob sua responsabilidade.


“Neste ano, estamos iniciando treinamentos específicos em determinados processos de negócio como Gestão de Pessoas e Gestão de Fornecedores. Além disso, iniciaremos ainda em 2023 o uso de uma plataforma especializada em capacitações, campanhas e simulações, com foco em Segurança da Informação e privacidade”, acrescenta Beltran.


Cultura sólida

Através dessa sequência de ações em favor da Cibersegurança e da Proteção de Dados, a Eletrobras tem experimentado um avanço da maturidade, reconhecido especialmente no NIST. Todavia, Beltran aponta que a melhor demonstração de mudança está no nível elevado de participação de todas as camadas de funcionários da Eletrobras. Isso demonstra a formação de uma cultura sólida de Privacidade e Cibersegurança.


“No dia a dia percebemos maior interesse dos colaboradores em relação ao tema, preocupados em agir corretamente e de forma segura nas ações cotidianas. Durante as campanhas de simulação de phishing, por exemplo, o tema é bastante comentado nos corredores e somos questionados sobre se é uma tentativa real ou uma simulação de fato, muitas vezes em tom descontraído, mostrando que as pessoas estão atentas. Isso comprova que nosso objetivo está sendo alcançado”, conclui Beltran.

Conteúdos Relacionados

Security Report | Destaques

Como transformar pessoas no elo mais forte contra ameaças baseadas em IA?

Durante a agenda de apresentações do Security Leaders Florianópolis, o CISO da CERC, Rodrigo Jorge, alertou os congressistas sobre a...
Security Report | Destaques

Ingram Micro sofre ataque de ransomware

Provedora de produtos e serviços de TI anunciou que detectou atividades cibercriminosas nos seus sistemas internos devido à presença de...
Security Report | Destaques

Centauro alerta para instabilidade no site, mas não confirma possível data leak

A companhia de equipamentos esportivos precisou derrubar o portal oficial de vendas e o aplicativo mobile após identificar erro estrutural...
Security Report | Destaques

Polícia Civil prende envolvido em ciberataque à C&M Softwares

Investigação conduzida em São Paulo aponta aliciamento interno no caso, com suspeito admitindo ter exposto credenciais e contribuído para construção...