No atual panorama digital em rápida evolução, as organizações enfrentam uma multiplicidade de ameaças à cibersegurança. Embora seja dada muita ênfase à formação dos funcionários para reconhecerem e mitigarem estes riscos, há um grupo frequentemente negligenciado com potenciais vulnerabilidades significativas – os não funcionários. Estes indivíduos, tais como contratantes, fornecedores e parceiros, têm acesso a informações ou sistemas sensíveis, o que os torna alvos atractivos para os cibercriminosos.

Neste artigo, esclarecemos os riscos de segurança colocados por não funcionários e salientamos o papel fundamental da Formação de Sensibilização para a Segurança para fortalecer as empresas para além da sua força de trabalho.

A ameaça interna: Vai para além dos funcionários

O Relatório de Investigações de Violação de Dados de 2023 revelou que 19% das violações de dados foram causadas por ameaças internas. Quando ouvimos o termo “insiders”, é fácil assumir que se refere apenas a funcionários dentro da rede de uma organização. No entanto, as ameaças internas vão muito além dos funcionários. Empreiteiros, fornecedores e parceiros também podem representar uma ameaça para a segurança de uma empresa. Um número surpreendente de 41% das ameaças internas foram perpetradas por parceiros ou contratantes, destacando o risco substancial que estas entidades externas representam.

Compreender os riscos que os não empregados enfrentam

Os não empregados podem ter diferentes níveis de familiaridade com os protocolos de segurança de uma organização e não têm o mesmo nível de conhecimentos de cibersegurança que os empregados normais. Esta lacuna de conhecimentos torna-os susceptíveis a ataques de engenharia social, tentativas de phishing e outras ameaças cibernéticas.

Com acesso a recursos críticos da empresa, incluindo bases de dados, informações de clientes e propriedade intelectual, podem utilizar os seus próprios dispositivos ou aceder a dados através de redes públicas, criando potenciais vulnerabilidades de segurança. Um exemplo real das consequências devastadoras de uma violação deste tipo é a T-Mobile, que sofreu uma violação maciça de dados em janeiro de 2023, quando os hackers obtiveram acesso através de um fornecedor externo, afectando mais de 40 milhões de clientes.

O papel crucial da formação de sensibilização para a segurança para não funcionários

De acordo com a cláusula 7.2.2 da ISO 27001/2,“todos os funcionários da organização e, quando relevante, os contratantes e utilizadores terceiros devem receber formação de sensibilização adequada e actualizações regulares das políticas e procedimentos organizacionais, conforme relevante para as suas funções“.

Oferecer formação de sensibilização para a segurança a não funcionários pode reduzir significativamente os incidentes de cibersegurança. Quando equipados com os conhecimentos e as competências necessárias, estes indivíduos tornam-se uma linha de defesa adicional contra os ciberataques, reduzindo a probabilidade de violações e de comprometimento de dados.

Alargar a Formação de Sensibilização para a Segurança a não funcionários melhora a postura global de segurança de uma organização ao abranger todos os indivíduos com acesso a recursos. A criação de uma cultura de segurança robusta e a promoção da responsabilidade e da sensibilização entre funcionários e não funcionários fomenta um esforço coletivo para salvaguardar activos críticos, reforçando o panorama geral da segurança.

Avaliação dos programas de formação existentes

As organizações devem começar por determinar se os não empregados já têm um programa de formação de sensibilização para a segurança em vigor. Avaliar a eficácia do programa existente é igualmente importante. Esta avaliação pode ajudar a identificar quaisquer lacunas ou áreas a melhorar, assegurando que todos os indivíduos com acesso aos recursos da empresa recebem formação adequada.

Lê mais: Formação de sensibilização para a segurança com fornecedores terceiros

Alargar a formação de sensibilização para a segurança para além da força de trabalho

Para garantir o êxito da formação de sensibilização para a segurança destinada a não empregados, as organizações devem ter em conta o seguinte

  • Formação à medida: Concebe programas de formação que respondam às necessidades e funções específicas dos não funcionários da organização. Aborda os riscos únicos que podem encontrar e fornece orientações práticas para evitar e responder a potenciais ameaças.

  • Conteúdo cativante: Torna a formação interactiva e cativante para captar o interesse e a motivação dos não funcionários para aprender. Utilizar técnicas de gamificação pode colmatar a lacuna de conhecimentos e aumentar a sensibilização para a cibersegurança entre este grupo vulnerável.

  • Comunicação clara: Salienta a importância da sensibilização para a segurança e o seu impacto direto no sucesso da organização. Destaca a responsabilidade partilhada na proteção da informação.

  • Formação regular: Certifica-te de que os não funcionários recebem formação regular, uma vez que as pessoas tendem a esquecer informações importantes ao longo do tempo. Um estudo realizado pela USENIX sobre a eficácia da Formação de Sensibilização para a Segurança revelou que os funcionários retiveram os conhecimentos da sua formação inicial durante aproximadamente quatro meses. No entanto, após seis meses, a sua capacidade de detetar e-mails de phishing diminuiu significativamente.

Conclusão

Dar prioridade à Formação de Sensibilização para a Segurança para não funcionários é essencial para as organizações reforçarem a sua postura geral de cibersegurança, mitigarem as ameaças internas e protegerem os dados sensíveis de potenciais violações. Alargar os esforços de formação em segurança para além dos funcionários garante que todos os indivíduos com acesso aos recursos da empresa estão bem equipados para se defenderem contra as ciberameaças. Ao promoverem um esforço coletivo para salvaguardar os activos críticos, as organizações podem fortalecer a sua defesa contra os cibercriminosos e proteger a sua reputação, vantagem competitiva e estabilidade financeira.