Simples erros de consciência de segurança estão por detrás de alguns dos maiores ataques cibernéticos do mundo. Em apenas um minuto na Internet, 2,9 milhões de dólares são perdidos para o cibercrime, de acordo com o relatório anual Evil Internet Minute do RiskIQ. Como a escala da Internet continua a aumentar rapidamente, o mesmo acontece com a paisagem de ameaças. Tácticas como a malvertising, phishing e ataques utilizando uma gama cada vez maior de tecnologias e estratégias têm-se tornado cada vez mais populares. No entanto, são frequentemente as ameaças de dentro da organização que representam o maior risco, salientando a necessidade de uma maior sensibilização para a segurança.
De facto, 52% das empresas admitem que os empregados são a sua maior fraqueza em termos de segurança informática, com as suas acções descuidadas a colocarem as empresas em risco. No ano passado, 60% das violações relatadas pelo ICO foram causadas por erro humano e, como tal, a falta de consciência de segurança continua a ser uma questão chave para muitas organizações. Muitas vezes, as pessoas ou são alheias a ameaças, ou tornam-se descuidadas.
Estar consciente destes erros comuns de consciência de segurança e tomar as medidas correctas para implementar um plano de sensibilização eficaz ajudará a educar, e capacitar os funcionários para mudar os seus comportamentos e proteger a sua organização de riscos potenciais.
Erros de Sensibilização de Segurança a Evitar
1. Falta de foco
O principal objectivo de qualquer programa de sensibilização para a segurança é mudar os comportamentos e, para que o seu programa de sensibilização seja bem sucedido, deve ter objectivos claros. Estes objectivos servirão ou devem servir para sustentar a razão da criação do programa. Devem ser específicos e devem identificar e abordar os pontos fracos da sua organização, tais como phishing, segurança física e segurança por senha.
2. Utilização de um Único Estímulo
Muitas organizações cometem o simples erro de se concentrarem num único elemento de consciência cibernética, como o phishing ou o eLearning. Embora estas áreas sejam uma parte essencial da protecção de uma empresa, as campanhas de sensibilização cibernética mais bem sucedidas adoptam uma variedade de métodos envolventes para educar os funcionários sobre o seu papel na manutenção da organização em segurança e protecção.
3. Formação One and Done
Apenas 11% das organizações treinam continuamente os funcionários sobre como detectar ciberataques, de acordo com a investigação global da Vanson Bourne e 52% realizam formação apenas trimestralmente, ou uma vez por ano. A fim de acompanhar os desenvolvimentos no ambiente da ameaça cibernética, é importante que a formação de sensibilização seja vista como um processo contínuo que deve ter início durante o processo de integração e continuar durante todo o emprego.
4. Políticas desactualizadas
Uma forma eficaz de educar os funcionários sobre a importância da segurança é uma política de cibersegurança que explique as responsabilidades de cada pessoa na protecção dos sistemas e dados informáticos. Estas políticas estabelecem padrões de comportamento e descrevem as expectativas dos empregados. Por exemplo, sem políticas claramente definidas sobre a utilização de meios amovíveis e dispositivos pessoais, o pessoal pode ligar dispositivos à infra-estrutura da empresa que possam levar à importação de malware ou comprometer informações sensíveis. No entanto, a gestão eficaz de políticas e procedimentos requer muito mais do que apenas a criação de um manual para se sentar numa prateleira. As políticas e procedimentos são documentos vivos que devem crescer e adaptar-se com uma empresa. Como tal, garantir a actualização das políticas é uma parte crucial de uma gestão política eficaz e de sensibilização. A revisão regular das suas políticas assegura que estas sejam consistentes, eficazes e protegem a sua organização do risco.
5. Falta de apoio da Suite C
Proteger a segurança de uma empresa não é apenas um trabalho para a equipa de TI, mas também para o Chefe do Executivo. O tom estabelecido a partir do topo será, em última análise, a força motriz na criação de uma cultura de maior consciência de segurança cibernética. A fim de evocar mudanças, a equipa de gestão superior de uma organização deve apropriar-se da segurança cibernética e pôr em prática os procedimentos e formação correctos que abordem todos os riscos.
6. Falha em Recompensar o Sucesso
Infelizmente, as organizações podem ignorar os empregados que estão a tomar as precauções para se manterem seguros em linha, despedindo-os frequentemente como uma responsabilidade que vem com o trabalho. No entanto, reconhecer os funcionários que detectam hacks e violações com recompensas e prémios é uma forma eficaz de motivar os funcionários, incentivar a sua equipa e aumentar a sensibilização dentro de uma organização. É exactamente nisto que se deve basear uma campanha eficaz de sensibilização para a cibersegurança - funcionários empenhados que assumem a responsabilidade de manter a empresa segura.
7. Pobre Cultura de Comunicação de Incidentes
Se os empregados não forem claros quanto às consequências da denúncia, podem não denunciar um incidente, ou atrasar a denúncia à pessoa apropriada. Um empregado que comunique um potencial incidente de segurança deve ser reconhecido como um evento positivo que permite à organização resolvê-lo prontamente. O estabelecimento de expectativas claras ajudará as pessoas a compreender as acções a tomar ao detectar ou responder a um potencial incidente.
8. Revisões infrequentes
Não rever os seus esforços de sensibilização significa que não há forma de saber se a sua campanha de sensibilização é verdadeiramente bem sucedida na realização dos seus objectivos. Isto é essencial para descobrir erros de sensibilização para a segurança e áreas onde a tecnologia e os processos podem ser melhorados. Por exemplo, as simulações de phishing permitem que as organizações revejam o quão susceptível é a sua empresa a e-mails fraudulentos de phishing e ajudam a identificar o pessoal que requer formação adicional. Ao determinar o que está a funcionar e o que não está, é possível adaptar tácticas futuras com base nas lições aprendidas.
9. Falta de Conteúdo de Envolvimento
Um relatório da Gartner descobriu que 70% dos esforços de transformação empresarial falham devido à falta de empenho. Dizer aos utilizadores para estarem mais vigilantes em relação a mensagens de abertura e de abertura a partir de fontes desconhecidas não é simplesmente suficiente para proteger os utilizadores das ameaças sofisticadas dos dias de hoje. Em vez disso, a consciência da cibersegurança deveria ser envolvente e informativa para assegurar que o pessoal compreenda o que lhes é exigido, e a importância do seu papel na salvaguarda dos dados sensíveis da organização. Para ajudar a reduzir a possibilidade de erros de sensibilização para a segurança; cartazes de campanha, cursos de eLearning, jogos, ataques simulados de phishing, questionários e guias de bolso podem ser utilizados para aumentar a sensibilização e conformidade dos utilizadores de uma forma cativante.
10. Expectativas pouco razoáveis
A consciência cibernética deve ser tratada como um processo contínuo que evoluirá com o tempo e é por isso que é importante estabelecer expectativas realistas sobre o que pode ser alcançado. Embora seria óptimo se a consciência de segurança pudesse evitar todos os incidentes, simplesmente não é realista. No entanto, ao implementar uma abordagem híbrida da consciência cibernética, as organizações podem efectivamente envolver os funcionários, encorajar mudanças de comportamento e reduzir a possibilidade de erros dispendiosos de consciência cibernética de segurança.
MetaCompliance specialisesemcreating the best Security Awareness Training availableno mercado. Os nossos produtos abordam directamente os desafios específicos que surgem das ameaças cibernéticas e da governação empresarial, facilitando aos utilizadores o envolvimento em segurança cibernética e conformidade.Entre em touch withos nossos Especialistas em Sensibilização para a Segurança para mais informações sobre como podemos ajudar a transformar a formação em segurança cibernética dentro da sua organização e reduzir a hipótese de erros dispendiosos de sensibilização para a segurança cibernética.
