Gartner, Inc., prevê que no final de 2021 os gastos em segurança e gestão de risco deverão atingir 150,4 mil milhões de dólares. O trabalho do CISO (Chief Information Security Officer) nunca foi tão vital e garantir que o orçamento é bem gasto é um aspecto importante da gestão da segurança cibernética e do controlo de riscos. A Formação de Sensibilização para a Segurança é uma área que ajuda a mitigar os ataques destinados a manipular os funcionários. Isto é apoiado por um relatório da McKinsey que esboça sete áreas de acção, a segunda das quais é alistar pessoal da linha da frente e realizar Formação de Sensibilização em Segurança. Este enfoque no elemento humano na mitigação de ameaças cibernéticas significa que uma CISO gasta frequentemente um orçamento em Formação de Sensibilização para a Segurança.
No entanto, garantir que um programa de formação seja eficaz requer uma estratégia sólida. Aqui estão seis passos para o sucesso da consciência de segurança que asseguram que o seu orçamento é bem gasto.
Seis Passos para Maximizar o Sucesso da Consciência de Segurança
O elemento humano de um ataque cibernético está agora bem estabelecido com pesquisas que mostram que cerca de 85% de todos os ataques envolvem um ser humano enganado (ou não) para "apertar o botão de ataque". A Formação de Sensibilização para a Segurança é um dos métodos aceites utilizados para prevenir ataques cibernéticos bem sucedidos centrados no ser humano. Consequentemente, é provável que o gasto previsto em programas de sensibilização para a segurança atinja 10 mil milhões de dólares até 2027. Os seis passos seguintes podem ajudá-lo a formular um plano de sucesso para assegurar que o seu orçamento seja bem gasto.
Passo 1: Fazer o Buy-in em toda a C-Suite e Board
Escusado será dizer que, se quiser efectuar uma mudança, terá de obter a adesão das pessoas certas para o fazer. A segurança é um problema de todos, inclusive ao nível da direcção. Um tom positivo do topo ajuda a mudar a atitude em relação à segurança que depois filtra em toda a organização. Com a adesão ao nível C e ao conselho de administração, um CISO tem o poder de pôr em prática as ferramentas e os processos para tornar o negócio mais seguro. O apoio de nível C fornece a espinha dorsal necessária para construir uma cultura de segurança utilizando um pacote de Formação de Sensibilização para a Segurança.
Dica de MetaCompliance: Muitos regulamentos e normas de protecção de dados requerem agora um programa de sensibilização para a segurança. Utilize estes requisitos para aproveitar a necessidade de estabelecer um programa de sensibilização para a segurança.
Etapa 2: Começar no início
Conheça as suas necessidades de segurança, avaliando o cenário de ameaça, especialmente se for relevante para o seu sector. Este entendimento é a base de um programa eficaz de sensibilização para a segurança. Conhecendo os tipos de ameaças com que o seu sector ou empresa provavelmente se deparará, poderá adaptar mais eficazmente um programa de Formação de Sensibilização para a Segurança. Por exemplo, que aplicações de nuvem é que a sua organização utiliza? De que tipo de ameaças estão mais em risco? Oferecem trabalho flexível e têm trabalhadores à distância? Há algum problema com a partilha de palavra-passe entre o seu pessoal?
Além disso, as necessidades de conformidade regulamentar podem ser específicas ao seu sector: por exemplo, o seu pessoal pode trabalhar com grandes volumes de dados altamente sensíveis que devem estar em conformidade com os requisitos da DPA2018. Ao desenvolver um programa de sensibilização à medida, não se esqueça de incluir pormenores específicos sobre regulamentos de protecção de dados.
Dica de MetaCompliance: As suas políticas e procedimentos devem ser mapeados para a formação de sensibilização. Ao fazê-lo, a Formação de Sensibilização para a Segurança pode ser utilizada para ajudar a reforçar os processos de segurança.
Passo 3: Torná-lo Real (e Divertido)
A Formação de Sensibilização para a Segurança deve ser prática e centrada no ser humano. Para que a formação seja um sucesso, um programa deve fazer-se acompanhar do seu público. Há muitas maneiras de fazer com que isto aconteça e nem todos os programas de sensibilização para a segurança se tornam iguais. Os melhores oferecerão conteúdos interactivos e envolventes que os funcionários considerem interessantes. Se conseguir manter o interesse de um indivíduo, é mais provável que encoraje a aprendizagem activa que cola.
Para desenvolver um programa que funcione bem para mitigar as ameaças cibernéticas centradas no ser humano, os tópicos abrangidos devem reflectir os tipos de ameaças que a sua organização experimenta ou irá experimentar. Os tópicos típicos a cobrir incluem:
- Senha de higiene
- Golpes de e-mail
- Malwares e suportes amovíveis
- Estar seguro na Internet
- Redes sociais: privacidade, e segurança
- Conformidade e regulamentos e o seu impacto nos empregados
Os exercícios de simulação de phishing são uma excelente forma de oferecer uma forma criativa e envolvente de ensinar aos empregados os perigos dos e-mails de phishing. Mais sobre os do passo 4...
Dica MetaCompliance: De um modo geral, qualquer que seja o conteúdo do seu programa de sensibilização para a segurança, este deve fornecer conteúdos interactivos e envolventes.
Passo 4: Como detectar um Phish
O phish é onde está a acontecer no mundo dos hackers. O phishing tornou-se o método de ataque ao longo dos anos e a sofisticação é o nome do jogo. As campanhas de phishing são grandes negócios e modelos como o "phishing-as-a-service" fornecem aos hackers em todo o mundo as ferramentas para roubar credenciais e dados, e infectar as redes com malware, incluindo o "ransomware". Assim, o pessoal docente para detectar e-mails de phishing é uma ferramenta vital para o sucesso da sensibilização para a segurança.
As soluções de simulação de Phishing são uma ferramenta importante no kit de formação de sensibilização da CISO. As simulações de phishing permitem a uma organização automatizar a formação em phishing para treinar os utilizadores a detectar os sinais de alerta das campanhas de phishing.
Dica MetaCompliance: Utilize exercícios de simulação de phishing como parte de um programa mais amplo de sensibilização para a segurança e projecte-os para reflectir os tipos de ameaças de phishing que visam o seu sector.
Passo 5: Medir, Medir, Medir
É importante compreender o impacto e a eficácia de um programa de sensibilização para a segurança. Os eventos de Formação de Sensibilização para a Segurança fornecem frequentemente métricas que mostram o quão eficazes têm sido. Alguns exemplos de métricas de formação que podem oferecer uma visão da eficácia do programa são:
Inquéritos (qualitativos): Questionários utilizados para explorar a compreensão do programa e da sua entrega por parte dos estagiários.
Resultados da simulação de Phishing (quantitativos): Por exemplo, quantos utilizadores clicaram em links de phishing em oposição a quantos alertaram a empresa sobre a recepção de um e-mail de phishing.
Métricas de comunicação (quantitativas e qualitativas): Quantos utilizadores estão a comunicar problemas de segurança identificados na formação?
A métrica pode ser visualizada para oferecer uma visão de feedback aos participantes e à direcção.
Dica de MetaCompliance: Para além de utilizar métricas para adaptar programas de formação, também utilizar métricas para mapear de volta às políticas de segurança e ajustá-las para capturar áreas problemáticas identificadas durante a formação.
Passo 6: Adaptar e Actualizar
Utilize as métricas das tarefas e eventos de sensibilização para adaptar a sua entrega de futuras iterações da campanha de sensibilização. As métricas recolhidas na etapa 5 ajudarão a fornecer uma formação mais eficaz. No entanto, os administradores de programas devem realizar reuniões regulares para assegurar que os programas de formação reflictam as realidades dos desafios de segurança cibernética das empresas, uma vez que as ameaças à segurança cibernética não são eventos estáticos. medida que o panorama da segurança muda, que novos funcionários entram a bordo, e que novas tecnologias são implantadas na sua organização, a Formação de Sensibilização para a Segurança tem de se adaptar para reflectir estas mudanças.
Dica MetaCompliance: Misture e combine diferentes formas de formação de pessoal. Utilizar uma variedade de opções, incluindo jogos, simulações de phishing, cartazes, boletins informativos, adaptando-os de acordo com as necessidades do departamento e com as necessidades de sensibilização de segurança ao longo do tempo. Envolver departamentos de toda a organização na concepção e desenvolvimento dos programas.
