Os ataques cibernéticos são tão comuns que fazem regularmente as notícias nacionais. Há muitas razões pelas quais as burlas e a cibercriminalidade decolaram. Ainda assim, a manipulação e engenharia social dos nossos empregados e o software que utilizam é um ponto de partida típico para estes ataques.
Organizações de todo o mundo trabalham na construção de uma cultura de segurança para contrariar o factor humano em ataques cibernéticos. Mas se a sua organização ainda precisa de criar esta mentalidade de segurança, e as ameaças e vulnerabilidades estão cada vez mais a colocar a sua empresa em risco, deve perguntar: poderá a boa formação em segurança cibernética mudar uma má cultura de segurança cibernética?
Sinais de uma cultura de má segurança cibernética e formas de a corrigir
Uma má cultura de segurança cibernética tem sinais de aviso de conto a ter em conta. Abaixo estão alguns dos mais óbvios, juntamente com algumas acções que podem mudar uma má cultura de segurança cibernética utilizando algumas boas técnicas de formação de segurança cibernética:
Todos falam e nenhuma acção
Uma cultura de segurança permeia de cima para baixo e de baixo para cima. Todos devem ser encorajados a fazer parte de um todo maior, trabalhando para um objectivo comum onde a segurança é levada a sério. Todos, desde a sala de administração até ao pessoal temporário, devem compreender o que significa colocar a segurança em primeiro lugar e exactamente como o fazer.
Nada mudará se a sua organização falar de segurança mas não fornecer formas práticas de enfrentar as ameaças. Ao explicar como estar seguro, o pessoal será capaz de reagir correctamente se ocorrerem tentativas de ataques cibernéticos, tais como e-mails de phishing ou eventos de engenharia social.
Como transformar conversa em acção: para transformar conversa em acção, a liderança deve seguir com formas práticas de apoiar os esforços de segurança. Isto exigirá uma educação de segurança positiva e contínua em toda a organização, fornecendo ao pessoal as ferramentas para ajudar o esforço de segurança da empresa.
Uma Cultura de Culpa, Não de Segurança
O jogo da culpa é uma cultura tóxica e prejudicial que pode ocorrer rapidamente quando ocorrem ciberataques, especialmente se estes continuarem a acontecer. Apontar o dedo e culpar o pessoal por percalços, tais como abrir um e-mail potencialmente malicioso, é fácil. No entanto, quanto mais o dedo for apontado, mais a atmosfera geral em torno do comportamento de segurança se apodrecerá.
Além disso, este comportamento de culpa é tão prejudicial como clicar num link de phishing, pois cria um ambiente de desconfiança e perpetua um comportamento de segurança deficiente.
Parar o jogo da culpa com comunicação aberta: bode expiatório e culpa são as antíteses de uma boa cultura de segurança cibernética. Em vez disso, trabalhar na construção da confiança, onde se um empregado comete um erro, sente-se à vontade para revelar esse percalço. Uma boa cultura de segurança precisa de uma boa comunicação. Se um funcionário informar as TI sobre um passo em falso em matéria de segurança, tal como uma libertação acidental de dados sensíveis, a equipa pode agir mais rapidamente para mitigar a exposição de dados.
Ignorando o que a métrica lhe está a dizer
Quando uma cultura de segurança se desvia, o problema aparece na métrica de vulnerabilidade da organização: o factor humano na segurança cibernética é bem reconhecido, com estatísticas chocantes como 82% de todos os ataques cibernéticos envolvendo um elemento humano. O erro humano acontece quando as pessoas desconhecem como as suas acções podem levar à fuga de dados ou colocar uma empresa em risco. Assim, se notar um aumento de violações potenciais ou reais, isto pode ser rastreável aos empregados e outros não-empregados.
As métricas são o seu amigo: utilize as métricas fornecidas pelos programas de Formação de Sensibilização de Segurança e programas simulados de phishing para identificar pontos de preocupação. O sistema de métricas permite-lhe adaptar a formação de modo a que seja mais eficaz. Além disso, a formação pode ser ajustada com base em papéis para concentrar a atenção em áreas vulneráveis específicas.
Num ouvido e fora do outro
Uma cultura de segurança ineficaz pode levar a uma aprendizagem ineficiente sobre segurança. Material de formação aborrecido e repetitivo em sala de aula pode atrasar os empregados e prejudicar as suas hipóteses de construir uma cultura robusta de segurança.
A aprendizagem activa acontece quando as pessoas estão envolvidas e podem conectar-se com o material a um nível emocional. Por exemplo, se não se fornecer conteúdo de sensibilização de segurança experimentado e de confiança. Nesse caso, poderá descobrir que a informação vai para um ouvido e para fora do outro, com os funcionários a esquecerem-se de experiências de aprendizagem vitais e de um comportamento de segurança deficiente que se mantém inalterado.
O material estimulante funciona maravilhas: forneça material de aprendizagem estimulante que sinaliza com os seus empregados. Utilize formação pontual para que os empregados aprendam à medida que treinam e ajudem a mudar o comportamento de mau para bom. Envolver o material com os empregados e constrói a mentalidade de segurança - primeiro, necessária para cimentar uma cultura de segurança.
A formação é desconectada
Culturas de todos os tipos são construídas sobre confiança e comunicação. Uma má cultura de segurança pode surgir se os empregados não discutirem preocupações ou questões com os gestores de linha. O problema ocorre quando esses mesmos gestores de linha se sentem desligados da cultura de segurança. Isto pode acontecer quando os programas de formação falham na gestão ou quando o material de formação não é adaptado a departamentos e papéis específicos.
Funções e departamentos de ligação:
- Construir relações e quebrar fronteiras ao desenvolver programas de formação de segurança, concebendo campanhas em torno de papéis específicos.
- Incluir todos os empregados na formação, todos numa organização desempenham o seu papel na empresa, e todos devem fazer parte da cultura de segurança.
- Utilizar material de formação que desenvolva ligações entre a direcção e os funcionários através de eventos de formação em colaboração, tais como jogos ao estilo de salas de fuga.
Uma Falta de Envolvimento
As culturas florescem quando envolvem toda a gente. As pessoas têm um comportamento social e prosocial que faz parte da construção de comunidades sólidas e cooperativas. Se não incluir todas as pessoas na sua Formação de Sensibilização para a Segurança, formam-se facções que têm um comportamento de segurança mais deficiente do que as que passaram pela formação. A falta de envolvimento de alguns terá impacto no desenvolvimento de uma cultura e comunidade de segurança coesa.
Ouvir e aprender: ouvir o seu pessoal pode ajudar a desenvolver um sentido de comunidade e confiança. Tenha uma política de portas abertas para estabelecer ligações, levando a melhores respostas em termos de segurança. Oiça e aprenda, envolva os funcionários na Formação de Sensibilização para a Segurança utilizando iniciativas como a semana anual de sensibilização para a segurança cibernética. Uma boa capacidade de escuta é uma grande estratégia de envolvimento. Também ajuda a desenvolver um espírito comunitário vital para o desenvolvimento de uma cultura de segurança robusta e eficaz.
Há um provérbio que sem dúvida terão ouvido, "unidos estamos, divididos caímos". Este provérbio encerra a importância de trabalhar em conjunto para um objectivo comum; ao fazê-lo, o "todo torna-se maior do que a soma das partes". A Formação de Sensibilização para a Segurança deve envolver toda a comunidade da organização e construir pontes com base em experiências e preocupações partilhadas. Ao fornecer um programa de Formação de Sensibilização em Segurança agradável, envolvente e informativo, a sua empresa pode tornar essa cultura de segurança elusiva mas vital.
