Os erros acontecem, é inevitável.
Mas a realidade é que
quando se trata da sua Campanha de Sensibilização para a Segurança Cibernética, qualquer erro, não importa
quão pequeno, pode ter um efeito extremamente prejudicial na segurança da sua organização
.
Os resultados destes erros aparentemente inocentes são
continuamente reproduzidos na imprensa com relatos diários de violações de dados, ataques cibernéticos
e multas paralisantes impostas por práticas negligentes de Segurança Cibernética.
Vivemos agora numa era diferente, uma era que exige uma melhor abordagem à Ciber-Segurança. A sua campanha de sensibilização para a Segurança Cibernética não pode ser apenas uma tentativa sem brilho de simplesmente assinalar uma caixa. Tem de mitigar o risco, proporcionar uma verdadeira defesa contra as ameaças cibernéticas e educar o pessoal sobre a importância do seu papel na salvaguarda de dados sensíveis da empresa.
Pode ser difícil saber por onde começar ou que áreas
apresentam o maior risco, mas reconhecendo a segurança mais comum
erros de sensibilização, pode começar a desenvolver uma robusta campanha de sensibilização de segurança Cyber
que defende contra as ameaças cibernéticas em evolução e
cumpre eficazmente os quadros regulamentares.
Alguns dos erros mais comuns de consciência de segurança incluem:
1.A Abordagem Blasé à Segurança Cibernética
Muitas organizações prestam um serviço de palavras à Cyber Security, mas não levam a ameaça suficientemente a sério. Podem acreditar que são demasiado pequenas para serem atacadas ou que o dinheiro poderia ser investido noutras áreas onde há um retorno mais imediato do investimento. Estas são suposições perigosas a fazer.
De acordo com o Relatório de Investigação de Violação de Dados de Verizon 2019 (DBIR), 43% de todos os ciberataques visam agora as pequenas empresas. A realidade é que os cibercriminosos vão cada vez mais atrás de organizações de menor e médio porte, uma vez que normalmente têm menos dinheiro e recursos para investir em Segurança Cibernética. Podem ser as grandes marcas que atingem as manchetes, mas cada organização é um alvo e precisa das medidas apropriadas de Ciber-Segurança em vigor para se defender contra ataques.
O erro humano continua a ser a causa principal de todas as violações da Cyber Security, pelo que é vital que a sua organização implemente uma campanha eficaz de sensibilização para a Cyber Security que eduque o pessoal sobre como identificar e responder adequadamente às ameaças em evolução.
2. Sem objectivos claros
Para que a sua campanha de sensibilização para a segurança seja bem sucedida, deve
ter objectivos claramente definidos que descrevam o que espera alcançar. Os seus objectivos
devem identificar e abordar os problemas que a sua organização está actualmente a enfrentar em
. Isto pode ser ataques de phishing, trabalho remoto, palavra-passe
segurança, questões regulamentares ou segurança física. Os cibercriminosos estão
continuamente à procura de áreas a explorar, a menos que a sua campanha de sensibilização para a segurança
identifique correctamente todas as áreas de risco, a sua organização está vulnerável
a ataques.
O passo seguinte é identificar o seu público-alvo. Os diferentes funcionários da sua organização enfrentam ameaças diferentes, por isso, em vez de enviar o mesmo conteúdo genérico a todos, os seus funcionários devem receber formação específica que seja relevante para o seu papel. Ao realizar uma avaliação de risco detalhada, a sua organização estará numa posição muito melhor para criar uma campanha de sensibilização para a segurança com objectivos claros que possam ser devidamente medidos e avaliados numa data posterior.
3. Conteúdo enfadonho
A sua campanha de sensibilização para a Segurança Cibernética está condenada se continuar a bombardear o seu pessoal com o mesmo conteúdo repetitivo e brando de sempre. Cyber Security é um tópico suficientemente seco como o é, sem o agravar com longas apresentações em PowerPoint e com diapositivos monótonos que não desempenham qualquer papel na transmissão da ameaça muito real que os cibercriminosos representam para o seu negócio. E não se iluda, estas ameaças são reais. Independentemente da dimensão, sector ou localização, todas as organizações são vulneráveis e serão activamente visadas pelos cibercriminosos.
A chave para mitigar este risco e criar uma força de trabalho mais cibersegurança é através da utilização de conteúdos envolventes e relevantes. Contar histórias é uma forma muito eficaz de ajudar a reforçar as suas mensagens Ciber-Segurança. De acordo com a investigação da Universidade de Stanford, as histórias são até 22 vezes mais memoráveis do que apenas os factos. Se conseguir tornar a Cyber Security relatável, é mais provável que os seus empregados retenham a informação, melhorando assim a postura geral de segurança da sua organização.
É também importante utilizar uma variedade de métodos e formatos diferentes para manter o seu público envolvido. Vídeos de acção ao vivo, animação, questionários, políticas, blogs e cartazes de sensibilização podem ser combinados para criar um programa de segurança abrangente que tenha um impacto positivo no comportamento dos funcionários.
4. Formação infrequente
Nos anos passados, as organizações lançariam um curso anual de
Cyber Security e esperam que seja suficiente para manter o seu pessoal actualizado
com as últimas ameaças. No entanto, os tempos mudaram. As ameaças cibernéticas estão sempre a evoluir em
, pelo que, a menos que o seu pessoal receba formação regular,
não será capaz de reconhecer as ameaças sofisticadas que estão a ser utilizadas para
.
Os cibercriminosos normalmente tentarão infiltrar-se na sua organização explorando vulnerabilidades no software, phishing, malware ou através de más práticas de segurança em geral. À medida que nos tornámos mais conhecedores destes diferentes tipos de métodos de ataque, os cibercriminosos tiveram de se tornar mais desonestos nas suas tentativas de nos defraudar. 30% dos eventos de segurança podem agora ser atribuídos a funcionários descuidados ou desinformados, pelo que, a menos que o seu pessoal esteja a receber formação regular, podem constituir uma ameaça significativa à segurança da sua organização.
5. Não Recompensar o pessoal
Pode ser demasiado fácil ser apanhado na tentativa de identificar os indivíduos que representam um risco de segurança para a sua organização, em vez de recompensar os membros do pessoal que estão a identificar activamente ameaças, a praticar bons comportamentos de segurança e a motivar os colegas de trabalho no processo. Estes são os membros do pessoal que são a chave para o sucesso do seu programa de sensibilização para a segurança e que devem ser recompensados em conformidade.
As recompensas poderiam incluir troféus, prémios ou elogios e reconhecimento público de que os seus esforços estão a ser apreciados. Está cientificamente provado que as recompensas influenciam ocomportamento humano, portanto, ao criar um programa de incentivos que recompensa comportamentos de segurança positivos, é mais provável que crie uma força de trabalho ciber-segurada e empenhada em proteger a sua organização.
Gartner produziu um documento de investigação detalhada que destaca 10 erros comuns de consciência de segurança e como podem ser evitados. Para ler o trabalho de investigação e descobrir como pode mudar os comportamentos de segurança dentro da sua organização, visite
