A formação de sensibilização para a segurança, sejamos francos, pode ser seca e pouco apelativa se não for bem feita. Uma má sessão de formação pode ser desanimadora, com os funcionários aborrecidos e incapazes de compreender os problemas causados pelos ataques à cibersegurança. No entanto, a sensibilização dos empregados para a segurança é uma necessidade numa era em que os atacantes utilizam o comportamento humano para executar os seus ataques. Quando uma empresa desenvolve um programa de sensibilização para a segurança, está a assumir uma área crítica do negócio moderno – combater as ameaças à cibersegurança. Mas o sucesso desse programa depende do envolvimento dos funcionários na natureza séria das ameaças à cibersegurança de uma empresa.  

Ideias para garantir que a formação de sensibilização para a segurança é levada a sério

Os cibercriminosos pretendem tirar o máximo partido do comportamento humano. Consequentemente, os programas de sensibilização para a segurança também têm de utilizar o comportamento humano como base para envolver o pessoal, de modo a que este leve a sua formação mais a sério. Eis algumas dicas para garantir que a tua formação de sensibilização para a segurança seja um sucesso:

Capacita os funcionários em questões de cibersegurança com a comunicação fácil de incidentes

Os investigadores Dupuis e Renaud demonstraram que o “Medo, Incerteza e Dúvida” (FUD) pode ser desanimador e ineficaz para alterar o comportamento de segurança dos empregados. O FUD pode até ser contraproducente como tática na formação de sensibilização para a segurança, causando ansiedade nos empregados. O medo não deve ser o motor de uma organização, seja a que nível for. Em vez de assustar os empregados, recompensa os comportamentos positivos em matéria de segurança e incentiva a comunicação fácil e contínua de incidentes de segurança. Um sistema de comunicação de incidentes de segurança, que permita a comunicação rápida e fácil de preocupações de segurança, pode capacitar os empregados e libertar o fator medo. Os sistemas “Click and Report” mudam o comportamento tornando as coisas simples e positivas. Um sistema de comunicação integrado num processo empresarial de comunicação-transporte-escalonamento-resposta, torna-se um facilitador da cultura de segurança alargada de uma organização, tornando o funcionário central para essa cultura.

Tornar a cibersegurança integral, pessoal e cultural

Os indivíduos são o alvo dos cibercriminosos. Embora o fraudador possa estar a tentar roubar grandes quantidades de dados pessoais ou invadir um sistema de TI de uma empresa, começa a nível individual. O phishing, o spear-phishing e a engenharia social são tácticas que colocam o empregado no centro de um ataque informático. Sem o contributo de um indivíduo visado, muitos ciberataques não teriam sucesso. Da mesma forma que os cibercriminosos visam os indivíduos, a formação em sensibilização para a segurança deve ser direcionada e personalizada.

A Formação de Sensibilização para a Segurança é mais bem sucedida se for personalizada: as pessoas respondem mais positivamente a algo com que se identificam. Os modelos comportamentais, como a ecologia comportamental, oferecem conhecimentos sobre o comportamento humano que podem ser aplicados para tornar a formação de sensibilização para a segurança um êxito. Certifica-te de que a tua formação se baseia no perfil de trabalho, nas tarefas e no nível de risco típicos de um empregado. Um programa personalizado ajudará a desenvolver uma cultura de segurança mais integrada, que une diferentes funções dentro de uma organização. A teoria da aprendizagem baseada em jogos identificou os jogos “experimentais”, por exemplo, jogos de representação de papéis e relevantes para a experiência, como sendo mais eficazes para a aprendizagem. Se um empregado estiver mais recetivo à aprendizagem, verá a natureza séria das ameaças à cibersegurança sem a necessidade de usar lições negativas e baseadas no medo.

Faz da formação de sensibilização para a segurança um desporto de equipa

Investigação em áreas como a teoria social cognitiva encontrou ligações entre a aprendizagem e o comportamento humanos que são afectados por ambientes sociais, incluindo as reacções e a aprovação dos outros. Os jogos de sensibilização para a segurança podem ser a base de uma experiência de aprendizagem positiva. Tenta criar equipas de funcionários que actuem em conjunto para impedir métodos de ataque informático. O ambiente de equipa pode ajudar a incentivar a aprendizagem e demonstrar ao pessoal a natureza séria das ameaças à cibersegurança contra a organização.  

Torna a formação de sensibilização para a segurança parte de uma cultura empresarial contínua

A investigação do analista Forrester sugere que uma formação de sensibilização para a segurança bem sucedida deve centrar-se no utilizador e na mudança de comportamentos. Vai além da criação de uma cultura de segurança e incorpora a segurança na cultura geral da empresa, utilizando a automatização das campanhas de sensibilização para a segurança. As soluções automatizadas de campanhas de sensibilização podem ser utilizadas para criar e gerir campanhas de formação eficazes e contínuas sobre cibersegurança. Ao utilizar a automatização para ministrar a Formação de Sensibilização para a Segurança, torna-a parte de um sistema integrado que é ministrado em toda a organização. A automatização facilita a entrega e o aperfeiçoamento da sensibilização para a segurança e incorpora a cultura de segurança na cultura da empresa, tornando-a uma parte importante das funções de um funcionário e não apenas uma reflexão posterior. Ao tornar a segurança uma parte integrante das expectativas da sua organização relativamente ao comportamento dos empregados, o bom comportamento de segurança é confirmado como uma parte importante e reconhecida da sua organização.

Mudar hábitos de segurança de longa data é um assunto sério

A chave para uma empresa com cibersegurança é o empenho do seu pessoal em ajudar a mitigar as ciberameaças. Sensibilizar o pessoal para a segurança significa mudar hábitos muitas vezes antigos. Para tal, é necessário que o pessoal se empenhe e compreenda a importância da formação em matéria de segurança para o êxito da organização. As métricas e o feedback podem ser úteis para avaliar o êxito e a seriedade dos programas de formação em matéria de segurança. As métricas são úteis tanto para os empregados verem os progressos como para a sua organização ajustar os programas para melhorar a sua taxa de sucesso. Se a sua organização implementar uma solução de campanha de sensibilização automatizada, este sistema também será capaz de manter uma auditoria da utilização da Formação de Sensibilização para a Segurança pela sua organização, fornecendo um recurso importante para demonstrar a conformidade regulamentar.

As ameaças à segurança são graves, as estatísticas provam-no. Mas o medo não motiva os empregados nem os faz compreender as implicações das suas acções. Um programa de formação em sensibilização para a segurança bem pensado, gerido e contínuo, que envolva os empregados num espírito de empresa, fará com que os empregados levem a segurança a sério.  

10 formas de melhorar a sensibilização do pessoal para a cibersegurança