Em 2022, o mundo dos negócios continuou a lidar com ataques de ransomware, fraudes e violações de dados. No entanto, não foram apenas as empresas de alto nível que foram atacadas; a saúde, a educação, o governo e as pequenas empresas foram todos vítimas de ataques cibernéticos.

Num relatório de 2022, o Office of National Statistics (ONS) revelou um aumento de 25% (para 4,5 milhões) nos crimes de fraude no ano que terminou em março de 2022, em comparação com o ano que terminou em março de 2020. E em 2022, o phishing continuava a ser a ameaça mais comum contra as empresas do Reino Unido, com 83% dos ataques baseados em phishing.

No entanto, um novo ano traz novas esperanças e ideias.

A formação em sensibilização para a segurança continua a ser uma das principais prioridades das empresas que pretendem combater a fraude, as burlas e outras ciberameaças. Mas como pode a tua organização melhorar a sua formação em sensibilização para a segurança em 2023?

Eis cinco ideias para preparar a tua organização para a segurança em 2023.

Sê positivo, sê seguro

Os cibercriminosos, especialmente os que utilizam a engenharia social e o phishingtr, baseiam-se num comportamento de segurança deficiente para que as suas burlas funcionem. Uma boa formação em cibersegurança consiste em mudar o comportamento de segurança negativo para uma atitude mais positiva. No entanto, mudar padrões de comportamento dá trabalho.

O comportamento, como a vontade de clicar, é um padrão aprendido e mudar acções profundamente enraizadas requer um esforço concertado que envolve estratégias como campanhas de phishing simuladas. Melhora o conteúdo da tua formação em sensibilização para a segurança através de campanhas baseadas em estratégias comprovadas, como a aprendizagem interactiva, que transformam maus hábitos comportamentais em acções positivas. A aprendizagem interactiva e os conteúdos envolventes irão aumentar o empenho dos funcionários e ajudar a sua organização a desenvolver uma cultura de segurança positiva.

Mantém-no relevante e interessante

O organismo do sector da segurança, ISACA, investigou a forma de melhorar a formação em sensibilização para a segurança. A investigação envolveu mais de 5000 organizações de todo o mundo. O estudo encontrou provas claras de que uma Formação de Sensibilização para a Segurança eficaz exige o tipo correto de apresentação de conteúdos interessantes e relevantes.

Entre as conclusões da ISACA está o facto de a informação dever ser fornecida em pequenas porções após a primeira sessão e com uma frequência regular para reforçar a aprendizagem. O tipo de informação também é importante. Os estudos de casos reais ajudaram a cimentar os conhecimentos e a reforçar a importância de bons comportamentos de segurança.

Os investigadores descobriram que o conteúdo deve ser “pertinente, relacionado com a teoria e a prática, e contar uma história”. Utiliza material de formação em sensibilização para a segurança, como pequenos vídeos explicativos e exercícios de simulação de phishing, para envolver os funcionários e tornar os conteúdos relacionáveis e relevantes.

Recompensa o sucesso e não jogues o jogo da culpa

Ninguém gosta de jogar o jogo da culpa, e a Formação de Consciencialização para a Segurança deve evitar o uso da culpa na formação dos funcionários. O problema de atribuir culpas é que isso pode fazer com que as pessoas percam a confiança, levando a percalços ainda piores.

Desenvolver uma postura robusta de cibersegurança leva tempo e baseia-se em muitos aspectos dos sistemas, pessoas e processos de TI da organização. Não culpes os funcionários pelos erros de segurança, as mudanças tecnológicas e as técnicas dos cibercriminosos; em vez disso, utiliza o mau comportamento de segurança como uma desculpa para mudar de comportamento e aprender com os erros.

Os programas de Formação Avançada de Sensibilização para a Segurança proporcionam sessões de formação interactivas durante um exercício para mostrar aos funcionários onde erraram e como garantir que não repetem o mesmo comportamento.

Além disso, recompensa o sucesso em vez de usar a culpa para envergonhar. Se os empregados se saírem bem nas sessões de formação, oferece-lhes pequenas recompensas e incentiva o bom comportamento.

Gera dados acionáveis

As métricas oferecem uma visão vital sobre a eficácia de um módulo de formação de sensibilização para a segurança; alguns sistemas avançados fornecem visões altamente granulares, ao longo do tempo e numa base individual, sobre a eficácia da formação de um determinado módulo.

Os módulos de simulação de phishing, por exemplo, geram dados com base nos funcionários, mostrando as curvas de aprendizagem dos funcionários à medida que desenvolvem as competências para identificar ameaças transmitidas por correio eletrónico. Utiliza os dados das métricas de sensibilização para a segurança para afinar os seus módulos de formação e identificar comportamentos difíceis de alterar para uma maior atenção – visa funções e grupos específicos utilizando métricas para ajudar a conceber campanhas de phishing simuladas à medida. Com o tempo, o feedback fornecido pelas métricas de formação granular permitir-te-á desenvolver sessões de formação mais eficazes.

Integrar a formação em segurança na tua organização

As normas de segurança devem ser estabelecidas ao nível da organização, integrando os indivíduos numa cultura de segurança em que a segurança está em primeiro lugar. Uma formação de sensibilização para a segurança bem sucedida tem a ver com o amadurecimento de métodos e abordagens, e não apenas com esforços para cumprir os regulamentos.

No entanto, os requisitos regulamentares para a Formação de Sensibilização para a Segurança devem ser utilizados como base para estabelecer métricas sobre a eficácia da sua formação. Ao combinar os objectivos organizacionais com a formação em segurança, esta abordagem transfere o ónus da segurança de um esforço individual para um esforço coletivo: constrói um programa de formação de sensibilização para a segurança que se adapte às necessidades de segurança da tua organização e incorpora todos, desde o nível da direção até às sessões de formação. Certifica-te de que cada departamento tem programas de formação personalizados que reflectem as ameaças do mundo real. Por exemplo, esquemas como o Business Email Compromise (BEC) têm como alvo departamentos como o gabinete do CEO e as contas a pagar.

É provável que 2023 seja tão desafiante para as empresas que lidam com ameaças à segurança como os anos anteriores. Nenhuma organização, independentemente da sua dimensão ou sector de atividade, pode sentar-se à sombra dos louros e esperar não ser um alvo.

No entanto, o nosso pessoal é a nossa força. Ao aplicar estas cinco estratégias de melhoria ao teu programa de Formação em Sensibilização para a Segurança para 2023, podes ajudar a desenvolver uma postura robusta de cibersegurança e capacitar os teus funcionários contra cibercriminosos e burlões.