A Gartner, Inc., prevê que, até ao final de 2021, os gastos com a segurança e a gestão de riscos deverão atingir 150,4 mil milhões de dólares. O trabalho do CISO (Chief Information Security Officer) nunca foi tão vital e garantir que o orçamento é bem gasto é um aspeto importante da gestão da segurança cibernética e do controlo de riscos. A formação em sensibilização para a segurança é uma área que ajuda a atenuar os ataques destinados a manipular os empregados. Isto é apoiado por um relatório da McKinsey que delineia sete áreas de ação, a segunda das quais é recrutar o pessoal da linha da frente e realizar a Formação de Sensibilização para a Segurança. Este enfoque no elemento humano na mitigação de ameaças cibernéticas significa que um CISO gasta frequentemente um orçamento na Formação de Sensibilização para a Segurança.

No entanto, para garantir que um programa de formação é eficaz, é necessária uma estratégia sólida. Aqui estão seis passos para o sucesso da sensibilização para a segurança que garantem que o seu orçamento é bem gasto.

Seis passos para maximizar o sucesso da sensibilização para a segurança

O elemento humano de um ataque cibernético está agora bem estabelecido, com a investigação a mostrar que cerca de 85% de todos os ataques envolvem um ser humano enganado (ou não) para “carregar no botão de ataque”. A formação em sensibilização para a segurança é um dos métodos aceites para evitar ciberataques bem sucedidos centrados no ser humano. Consequentemente, é provável que os gastos previstos em programas de sensibilização para a segurança atinjam os 10 mil milhões de dólares até 2027. Os seis passos abaixo podem ajudar-te a formular um plano de sucesso para garantir que o teu orçamento é bem gasto.

Passo 1: Obter a adesão de toda a direção e do conselho de administração

Escusado será dizer que, se queres efetuar mudanças, tens de obter a adesão das pessoas certas para o fazer. A segurança é um problema de todos, incluindo ao nível da direção. Um tom positivo a partir do topo ajuda a mudar a atitude em relação à segurança, que depois se espalha por toda a organização. Com o apoio da direção e do conselho de administração, um CISO tem o poder de definir as ferramentas e os processos necessários para tornar a empresa mais segura. O apoio do nível C fornece a espinha dorsal necessária para construir uma cultura de segurança utilizando um pacote de Formação de Sensibilização para a Segurança.

Dica MetaCompliance: Muitos regulamentos e normas de proteção de dados exigem agora um programa de sensibilização para a segurança. Utiliza estes requisitos para potenciar a necessidade de estabelecer um programa de sensibilização para a segurança.

Passo 2: Começa logo no início

Conhece as tuas necessidades de segurança, avaliando o cenário de ameaças, especialmente as relevantes para o teu sector. Este conhecimento é a base de um programa eficaz de sensibilização para a segurança. Ao conhecer os tipos de ameaças com que o teu sector ou empresa se podem deparar, podes adaptar mais eficazmente um programa de formação de sensibilização para a segurança. Por exemplo, que aplicações na nuvem é que a tua organização utiliza? De que tipo de ameaças correm maior risco? Oferece trabalho flexível e tem trabalhadores remotos? Existe algum problema com a partilha de palavras-passe entre o teu pessoal?

Além disso, as necessidades de conformidade regulamentar podem ser específicas do seu sector: por exemplo, o seu pessoal pode trabalhar com grandes volumes de dados altamente sensíveis que devem estar em conformidade com os requisitos da DPA2018. Ao desenvolver um programa de sensibilização personalizado, não te esqueças de incluir detalhes sobre os regulamentos de proteção de dados.

Dica MetaCompliance: As tuas políticas e procedimentos devem estar relacionados com a formação de sensibilização. Ao fazê-lo, a formação de sensibilização para a segurança pode ser utilizada para ajudar a reforçar os processos de segurança.

Passo 3: Torna-o real (e divertido)

A formação de sensibilização para a segurança deve ser prática e centrada no ser humano. Para que a formação seja um sucesso, o programa deve estar em sintonia com o seu público. Há muitas formas de o fazer e nem todos os programas de sensibilização para a segurança são iguais. Os melhores oferecem conteúdos interactivos e envolventes que os empregados consideram interessantes. Se conseguires manter o interesse de um indivíduo, é mais provável que encorajes uma aprendizagem ativa que se mantenha.

Para desenvolver um programa que funcione bem para mitigar as ciberameaças centradas no ser humano, os tópicos abrangidos devem refletir os tipos de ameaças que a tua organização enfrenta ou irá enfrentar. Os tópicos típicos a serem abordados incluem:

  • Higiene das palavras-passe
  • Fraudes por correio eletrónico
  • Malware e suportes amovíveis
  • Estar seguro na Internet
  • Redes sociais: privacidade e segurança
  • Conformidade e regulamentação e o seu impacto nos colaboradores

Os exercícios de simulação de phishing são uma excelente forma de oferecer uma maneira criativa e envolvente de ensinar aos funcionários os perigos dos e-mails de phishing. Fala mais sobre isso na etapa 4…

Dica MetaCompliance: De um modo geral, seja qual for o conteúdo do teu programa de sensibilização para a segurança, este deve fornecer conteúdos interactivos e envolventes.

Passo 4: Como detetar um phishing

O phishing é o que está a acontecer no mundo dos hackers. O phishing tornou-se o método de ataque preferido ao longo dos anos e a sofisticação é o nome do jogo. As campanhas de phishing são um grande negócio e modelos como o “phishing-as-a-service” fornecem aos hackers de todo o mundo as ferramentas para roubar credenciais e dados e infetar redes com malware, incluindo ransomware. Por isso, ensinar o pessoal a detetar e-mails de phishing é uma ferramenta vital para o sucesso da sensibilização para a segurança.

As soluções de simulação de phishing são uma ferramenta importante no kit de formação de consciencialização do CISO. As simulações de phishing permitem que uma organização automatize a formação em phishing para treinar os utilizadores a detetar os sinais indicadores das campanhas de phishing.

Dica MetaCompliance: Utiliza exercícios de simulação de phishing como parte de um programa de sensibilização para a segurança mais amplo e concebe-os de modo a reflectirem os tipos de ameaças de phishing que visam o seu sector.

Passo 5: Mede, mede, mede

É importante compreender o impacto e a eficácia de um programa de sensibilização para a segurança. Os eventos de formação de sensibilização para a segurança fornecem frequentemente métricas que mostram a sua eficácia. Alguns exemplos de métricas de formação que podem oferecer uma visão da eficácia do programa são:

Inquéritos (qualitativos): Questionários utilizados para explorar a compreensão dos formandos sobre o programa e a sua execução.

Resultados da simulação de phishing (quantitativos): Por exemplo, quantos utilizadores clicaram em ligações de phishing em vez de quantos alertaram a empresa ao receberem um e-mail de phishing.

Métricas de comunicação (quantitativas e qualitativas): Quantos utilizadores estão a comunicar problemas de segurança identificados na formação?

As métricas podem ser visualizadas para oferecer uma visão rápida do feedback aos participantes e à administração.

Dica MetaCompliance: Para além de utilizar as métricas para adaptar os programas de formação, utiliza também as métricas para mapear as políticas de segurança e ajustá-las para captar as áreas problemáticas identificadas durante a formação.

Passo 6: Adaptar e atualizar

Utiliza as métricas das tarefas e eventos de sensibilização para a segurança para adaptar a realização de futuras iterações da campanha de sensibilização. As métricas recolhidas no passo 5 ajudarão a fornecer uma formação mais eficaz. No entanto, os responsáveis pelo programa devem realizar reuniões regulares para garantir que os programas de formação reflectem a realidade dos desafios da cibersegurança empresarial, uma vez que as ameaças à cibersegurança não são eventos estáticos. À medida que o panorama da segurança muda, que novos funcionários entram a bordo e que novas tecnologias são implantadas na tua organização, a formação de sensibilização para a segurança deve adaptar-se para refletir essas mudanças.

Dica MetaCompliance: Mistura e combina diferentes formas de formar o pessoal. Utiliza uma variedade de opções, incluindo jogos, simulações de phishing, cartazes, boletins informativos, adaptando-os ao departamento e às necessidades de sensibilização para a segurança ao longo do tempo. Envolve os departamentos de toda a organização na conceção e desenvolvimento dos programas.