Erros simples de sensibilização para a segurança estão na origem de alguns dos maiores ataques informáticos do mundo. Em apenas um minuto na Internet, perdem-se 2,9 milhões de dólares devido ao cibercrime, de acordo com o relatório anual da RiskIQ. À medida que a escala da Internet continua a aumentar rapidamente, o mesmo acontece com o cenário de ameaças. Tácticas como o malvertising, o phishing e os ataques que utilizam uma gama cada vez maior de tecnologias e estratégias tornaram-se cada vez mais populares. No entanto, são frequentemente as ameaças internas à organização que representam o maior risco, o que realça a necessidade de uma maior sensibilização para a segurança.

De facto, 52% das empresas admitem que os empregados são a sua maior fraqueza em termos de segurança de TI, com as suas acções descuidadas a colocarem as empresas em risco. No ano passado, 60% das violações registadas pelo ICO foram causadas por erro humano e, como tal, a falta de sensibilização para a segurança continua a ser um problema fundamental para muitas organizações. Muitas vezes, as pessoas não se apercebem das ameaças ou tornam-se descuidadas.

Estar ciente destes erros comuns de sensibilização para a segurança e tomar as medidas corretas para implementar um plano de sensibilização eficaz ajudará a educar e a capacitar os funcionários para mudarem os seus comportamentos e proteger a sua organização de potenciais riscos.

Erros de sensibilização para a segurança a evitar

10 erros de sensibilização para a segurança a que deves estar atento

1. Falta de concentração

O principal objetivo de qualquer programa de sensibilização para a segurança é mudar comportamentos e, para que o teu programa de sensibilização seja bem sucedido, deve ter objectivos claros. Estes objectivos servirão ou deverão servir para defender a razão da criação do programa. Devem ser específicos e devem identificar e abordar os pontos fracos da tua organização, como o phishing, a segurança física e a segurança das palavras-passe.

2. Utilizar um único estímulo

Muitas organizações cometem o simples erro de se concentrarem num único elemento da ciberconsciencialização, como o phishing ou o eLearning. Embora estas áreas sejam uma parte fundamental da proteção de uma empresa, as campanhas de ciberconsciencialização mais bem sucedidas adoptam uma variedade de métodos envolventes para educar os funcionários sobre o seu papel em manter a organização segura e protegida.   

3. Formação “One and Done

De acordo com um estudo global da Vanson Bourne, apenas 11% das organizações dão formação contínua aos funcionários sobre como detetar ciberataques e 52% realizam formação apenas trimestralmente ou uma vez por ano. Para acompanhar os desenvolvimentos no ambiente das ciberameaças, é importante que a formação de sensibilização seja vista como um processo contínuo que deve começar durante o processo de integração e continuar durante todo o emprego.   

4. Políticas desactualizadas

Uma forma eficaz de educar os empregados sobre a importância da segurança é uma política de cibersegurança que explique as responsabilidades de cada pessoa na proteção dos sistemas e dados de TI. Estas políticas estabelecem normas de comportamento e definem as expectativas dos empregados. Por exemplo, sem políticas claramente definidas sobre a utilização de suportes amovíveis e de dispositivos pessoais, o pessoal pode ligar dispositivos à infraestrutura da empresa que podem levar à importação de malware ou comprometer informações sensíveis. No entanto, a gestão eficaz de políticas e procedimentos exige muito mais do que a simples criação de um manual que fica numa prateleira. As políticas e os procedimentos são documentos vivos que devem crescer e adaptar-se à empresa. Como tal, garantir que as políticas estão actualizadas é uma parte crucial da gestão e sensibilização eficazes das políticas. A revisão regular das tuas políticas garante que são consistentes, eficazes e protegem a tua organização dos riscos.

5. Falta de apoio da suite C

Proteger a segurança de uma empresa não é apenas uma tarefa para a equipa de TI, mas também para o diretor executivo. O tom definido a partir do topo será, em última análise, a força motriz na criação de uma cultura de maior sensibilização para a cibersegurança. Para provocar a mudança, a equipa de gestão sénior de uma organização tem de se apropriar da cibersegurança e pôr em prática os procedimentos e a formação corretos que abordem todos os riscos.

6. Não recompensas o sucesso

Infelizmente, as organizações podem ignorar os funcionários que estão a tomar as precauções necessárias para se manterem seguros online, muitas vezes descartando-os como uma responsabilidade que vem com o trabalho. No entanto, reconhecer os funcionários que detectam hacks e violações com recompensas e prémios é uma forma eficaz de motivar os funcionários, incentivar a sua equipa e aumentar a sensibilização dentro de uma organização. É exatamente nisto que se deve basear uma campanha eficaz de sensibilização para a cibersegurança – funcionários empenhados que assumem a responsabilidade de manter a empresa segura.

7. Cultura deficiente de notificação de incidentes

Se os empregados não tiverem a certeza das consequências da comunicação, podem não comunicar um incidente ou atrasar-se a comunicá-lo à pessoa adequada. O facto de um empregado comunicar um potencial incidente de segurança deve ser reconhecido como um acontecimento positivo que permite à organização resolvê-lo rapidamente. Definir expectativas claras ajudará as pessoas a compreender as acções a tomar quando detectam ou respondem a um potencial incidente.  

8. Revisões pouco frequentes 

Não rever os seus esforços de sensibilização significa que não há forma de saber se a sua campanha de sensibilização é verdadeiramente bem sucedida na consecução dos seus objectivos. Isto é essencial para descobrir erros de sensibilização para a segurança e áreas em que a tecnologia e os processos podem ser melhorados. Por exemplo, as simulações de phishing permitem que as organizações analisem até que ponto a sua empresa é suscetível a e-mails de phishing fraudulentos e ajudam a identificar o pessoal que necessita de formação adicional.   Ao determinar o que está a funcionar e o que não está, podes adaptar as tácticas futuras com base nas lições aprendidas.

9. Falta de conteúdo envolvente

Um relatório da Gartner concluiu que 70% dos esforços de transformação empresarial falham devido à falta de envolvimento. Dizer aos utilizadores para estarem mais vigilantes em relação ao “tailgating” e à abertura de mensagens de fontes desconhecidas simplesmente não é suficiente para os proteger das ameaças sofisticadas de hoje em dia. Em vez disso, a sensibilização para a cibersegurança deve ser cativante e informativa para garantir que o pessoal compreende o que lhe é exigido e a importância do seu papel na proteção dos dados sensíveis da organização. Para ajudar a reduzir a probabilidade de erros de sensibilização para a segurança, podem ser utilizados cartazes de campanha, cursos de eLearning, gamificação, ataques de phishing simulados, questionários e guias de bolso para aumentar a sensibilização e a conformidade dos utilizadores de uma forma cativante.  

10. Expectativas não razoáveis

A sensibilização para o ciberespaço deve ser tratada como um processo contínuo que evoluirá com o tempo, razão pela qual é importante estabelecer expectativas realistas sobre o que pode ser alcançado. Embora fosse ótimo se a sensibilização para a segurança pudesse evitar todos os incidentes, isso simplesmente não é realista. No entanto, ao implementar uma abordagem híbrida à sensibilização para a cibersegurança, as organizações podem envolver eficazmente os funcionários, incentivar a mudança de comportamento e reduzir a possibilidade de erros dispendiosos na sensibilização para a cibersegurança.

Evita as armadilhas comuns com a formação de sensibilização para a segurança MetaCompliance para funcionários

A MetaCompliance oferece formação especializada que capacita os colaboradores a reconhecerem e evitarem as armadilhas comuns da sensibilização para a segurança. A nossa abrangente biblioteca de conteúdos de eLearning foi concebida para enfrentar os desafios únicos colocados pelas ciberameaças e pela governação empresarial, assegurando que a sua equipa está bem equipada para se envolver em práticas eficazes de cibersegurança.

Contacta hoje os nossos especialistas em sensibilização para a segurança para saberes como podemos melhorar a formação em cibersegurança da tua organização e reduzir o risco de erros dispendiosos de sensibilização para a segurança.