Com o Reino Unido no topo da tabela de densidade do cibercrime, com 4.783 vítimas por milhão de pessoas, as empresas têm de garantir que estão a fazer tudo o que é possível para proteger a organização.

Uma das formas mais poderosas de provar que a Formação de Sensibilização para a Segurança funciona é quando os resultados do programa mostram um progresso positivo. Se os resultados da Formação de Sensibilização para a Segurança podem melhorar, tens de perceber porquê.

Otimizar a sua formação em sensibilização para a segurança é fundamental, uma vez que as ciberameaças continuam a tornar-se complexas e desafiantes. Eis cinco razões pelas quais a tua formação em matéria de segurança pode estar a falhar:

#1 A falta de conteúdo motivador

O tédio é o inimigo da aprendizagem; o planeamento é crucial para criar campanhas de Formação de Sensibilização para a Segurança motivadoras e inspiradoras. A utilização de “actividades inter-relacionadas” e de conteúdos interessantes é uma das melhores práticas na aprendizagem de adultos e deve ser utilizada para melhorar as experiências de aprendizagem.

Um programa de sensibilização para a segurança deve ser concebido de forma a refletir experiências do mundo real para envolver os funcionários. Se a formação não for inspiradora e não for relacionável, pode desmotivar os formandos e ser vista como aborrecida. Uma audiência aborrecida não retém a informação e o mau comportamento em matéria de segurança continuará a ser um problema.

Planeia a conceção de uma campanha de formação em segurança que envolva o teu público a um nível emocional e aborde comportamentos de risco específicos, por exemplo:

Formação com base em funções: utiliza campanhas de phishing simuladas com base em funções que testam as respostas dos funcionários às ameaças que um determinado departamento poderá enfrentar.

Conteúdos interactivos: utiliza materiais de formação que ofereçam experiências interactivas e incluam a aprendizagem pontual; esta aprendizagem aconselha os formandos durante uma sessão e indica-lhes onde erraram, o que pode acontecer e como evitar a ação no futuro.

#2 Uma mentalidade de caixa de correio

Os regulamentos podem fornecer uma caixa para assinalar relativamente à conformidade, mas assinalar essa caixa não produz resultados de formação eficazes. Se fizeres uma campanha de formação de sensibilização para a segurança com a mentalidade de assinalar a caixa da conformidade, é pouco provável que obtenhas bons resultados. A formação de sensibilização para a segurança tem a ver, em última análise, com a experiência humana e as interações sociais.

Em vez de realizar a Formação de sensibilização para a segurança apenas por razões de conformidade, cria um programa de eventos interativo e envolvente bem pensado. Cria sessões de formação que reflictam a sua base de colaboradores, com base em funções, que se baseiem nos conhecimentos e apresentem oportunidades de aprendizagem que se mantenham.

Para ajudar a estabelecer um programa de formação abrangente e regular, automatiza a tua campanha de Formação de Sensibilização para a Segurança para garantir que a aprendizagem ocorre ao longo de todo o calendário. A Formação Automatizada de Sens ibilização para a Segurança fornece uma estrutura para conteúdos envolventes e contínuos que conduzem a um comportamento de segurança positivo.

#3 A formação não se centra no comportamento

A formação em sensibilização para a segurança tem de lidar com comportamentos profundamente enraizados explorados pelos cibercriminosos para manipular os teus empregados. Infelizmente, as tecnologias que utilizamos diariamente no nosso local de trabalho fazem parte desta manipulação, com os e-mails de phishing a continuarem a ser a ferramenta favorita dos cibercriminosos, de acordo com o Threat Intelligence Index 2022 da IBM.

Mas mudar comportamentos é difícil; não esperes que a Formação de Sensibilização para a Segurança tenha efeito de um dia para o outro. A formação sobre a forma como os burlões manipulam as pessoas requer um esforço concertado, utilizando conteúdos de campanha concebidos para se concentrarem na mudança de comportamentos de segurança deficientes. Utiliza conteúdos de formação em segurança baseados no comportamento, como vídeos interactivos, para obteres melhores resultados nos teus programas de formação. Estes programas orientados para o comportamento reconhecem comportamentos de risco e utilizam-nos para desenvolver as necessidades de formação do indivíduo, desenvolvendo o conhecimento ao longo do tempo.

A conceção da campanha deve basear-se em riscos conhecidos e esperados a um nível granular, baseado em funções e departamental. Os comportamentos que propagam estes riscos, como clicar numa ligação de phishing, podem ser abordados através de programas de formação especializados, como o phishing simulado.

#4 Não sabes se os teus empregados compreenderam a formação

Um dos aspectos mais importantes da aprendizagem é avaliar o desenvolvimento e a compreensão individuais. Se a tua organização não regista progressos no comportamento de segurança de alguns ou de todos os funcionários, então tens de descobrir porque é que esses funcionários não aprendem com o conteúdo. Com o tipo correto de dados de medição, poderás ajustar o programa de sensibilização para a segurança de modo a torná-lo mais eficaz.

Ao executar campanhas de sensibilização para a segurança, utiliza a análise e os relatórios incorporados para gerar métricas para análise. Muitos sistemas avançados de sensibilização para a segurança, incluindo plataformas de phishing simulado, fornecem mecanismos para recolher métricas por indivíduo ou departamento. Utiliza estas métricas para avaliar a eficácia de diferentes aspectos da sua formação. Por exemplo, podes descobrir que tópicos específicos, ou a forma como são apresentados, são menos eficazes na mudança de comportamento.

Concebe as tuas campanhas de sensibilização para a segurança de modo a recolher métricas com base nos riscos e comportamentos que pretendes abordar. Relativamente aos principais riscos, a taxa de cliques em ligações de phishing é um bom ponto de partida, uma vez que as métricas são recolhidas durante simulações de phishing. À medida que recolhe dados sobre a suscetibilidade de clicar numa ligação de phishing, ajusta as campanhas para garantir que o ponto de aprendizagem é utilizado para resolver os pontos problemáticos. Continua a medir a taxa de cliques, ajustando-a à medida que avança, até veres uma redução nos cliques em links de phishing. Esta estratégia de ajuste iterativo deve ser repetida para outros comportamentos inadequados, como a reutilização de palavras-passe.

As métricas da Formação de Sensibilização para a Segurança também ajudam a avaliar o programa como um todo e fornecem uma forma de mostrar à liderança a importância da formação em segurança. A análise estratégica de métricas deve estar alinhada com áreas como o número de incidentes, o custo de uma violação e as violações de políticas e regulamentos. As plataformas avançadas de sensibilização para a segurança geram relatórios e imagens abrangentes para mostrar à sua equipa de gestão.

#5 Falta-te um espírito comunitário

Nos círculos da formação em sensibilização para a segurança, fala-se muito em desenvolver uma cultura de segurança. E isto por uma boa razão. Uma cultura em que a segurança é levada a sério resulta numa melhor postura de segurança.

A falta de espírito comunitário relativamente à segurança tem resultados desastrosos: um relatório recente mostra que 61% dos empregados não comunicariam um incidente de segurança. Isto pode significar que é mais complicado resolver as violações e evitar problemas de segurança contínuos.

Ao promover um esforço conjunto para proteger uma organização, é mais provável que os seus empregados sintam uma responsabilidade geral em manter o local de trabalho seguro. Uma cultura de segurança surge quando os programas de sensibilização para a segurança são bem sucedidos. Um programa eficaz de educação em matéria de segurança capacita os empregados com conhecimentos e muda o mau comportamento de segurança para acções positivas que impedem o cibercrime.

Com a colaboração de todos, desenvolve-se uma cultura de atitudes de segurança positivas e forma-se a cultura de segurança. Quando abordadas, as quatro razões acima ajudam a construir a base para esta cultura consciente da segurança. O resultado será a redução dos ataques informáticos e o cumprimento dos regulamentos.

Enquanto preparas e implementas a tua formação de sensibilização para a segurança em 2023, verifica se estás a seguir as melhores práticas para obteres os melhores resultados.