Uma das formas mais importantes de controlar o lado humano das violações de segurança cibernética é a utilização de Formação de Sensibilização de Segurança à medida dos empregados.
Desde a perda de confiança dos clientes ao horror das multas por incumprimento, as violações de dados são agora uma preocupação diária nas empresas em todo o espectro do sector. Manter-se no topo dos riscos de segurança é um desafio.
Seria maravilhoso se a segurança informática fosse simplesmente a utilização de uma peça de tecnologia para fechar a porta aos cibercriminosos; mas, como mostra um estudo da IBM que explora o custo de uma violação de dados, a maioria das ameaças cibernéticas tendem a ter um empregado como causa principal; seja esse simples erro humano, ou pessoas internas mal intencionadas, phishing, ou credenciais comprometidas.
Importância da Formação de Sensibilização para a Segurança para os Trabalhadores
Como todos sabemos, a educação é importante na vida. Esta educação estende-se ao comportamento e à segurança; se uma pessoa compreender por que razão age de uma determinada forma, pode mais facilmente mudar qualquer comportamento negativo.
Ao sensibilizar empregados e não empregados para a forma como a cibersegurança funciona, eles podem tornar-se parte de uma equipa educada que desempenha um papel positivo na ajuda à mitigação de ataques cibernéticos a uma organização.
Os seres humanos agem de forma particular devido às normas de comportamento e ao pré-condicionamento para utilizar mais facilmente os computadores. Este comportamento é utilizado para manipular os empregados na realização de acções que beneficiam os infractores.
Isto é confirmado por estudos que mostram que a manipulação do comportamento humano é o instrumento de eleição no cibercrime. Pode ser o malware que faz o trabalho de exfiltração de dados, mas os seres humanos abrem a porta a ameaças cibernéticas através de erro humano, engenharia social e phishing. Aqui estão três razões-chave pelas quais a Formação de Sensibilização para a Segurança dos empregados é importante:
A formação de sensibilização para a segurança centra-se no ser humano na cadeia de ameaças
De acordo com a ENISA, mais de 95% dos e-mails de phishing requerem intervenção humana para iniciar a infecção por malware.
Formação de Sensibilização para a Segurança Reduz os Custos
O estudo da IBM mencionado anteriormente descobriu que os cursos de formação de funcionários eram uma das principais formas de reduzir o custo médio de uma violação de dados.
A Formação de Sensibilização para a Segurança Leva as Políticas e Transforma-as em Acções
Outro estudo da ENISA sobre a cultura de segurança cibernética, sublinha a importância de fazer cumprir as políticas de segurança. O relatório concluiu que os utilizadores finais pensam nas políticas de segurança como "directrizes, mas não como regras". O relatório salienta a importância de mudar a mentalidade dos trabalhadores em matéria de segurança para ajustar a percepção do risco utilizando uma cultura de segurança organizacional coordenada, em oposição a coagir o comportamento seguro.
Tópicos Essenciais de Formação de Sensibilização para a Segurança para os Funcionários
Os programas de Formação de Sensibilização para a Segurança contêm várias áreas temáticas que são uma obrigação para uma formação eficaz. Seis das mais importantes são:
Phishing
Os ataques de phishing continuam a ser um método de topo que conduz a violações de dados. Juntamente com a falta de formação e a má higiene das palavras-passe, os ataques de phishing estão no topo das três principais formas em que ocorre a infecção por resgate. A formação de sensibilização dos funcionários para a segurança deve incluir uma compreensão de como funciona o phishing, e que tipos de phishing existem, por exemplo, phishing por correio electrónico, phishing de voz (Vishing), phishing de texto (SMShing), e spear phishing. O phishing simulado é frequentemente parte de um pacote de sensibilização. Os exercícios dephishing simulado são adaptados para enviar emails de teste de phishing para treinar os utilizadores nos truques típicos que os fraudadores utilizam. Muitos programas de formação de sensibilização para a segurança também oferecem vídeos interactivos para ajudar a detectar os múltiplos tipos de fraude que utilizam phishing.
Segurança Web
Em 2020, o Google registou mais de 2 milhões de sites de phishing. Os URLs maliciosos podem causar roubo de credenciais e infecção por malware, mesmo sem interacção do utilizador. É importante formar os utilizadores finais sobre como detectar websites/scams que visem infectar redes. Isto está a tornar-se mais difícil, uma vez que os sítios de phishing são frequentemente "sítios seguros"; o Grupo de Trabalho Anti-Phishing (APWG) mostra que 83% dos sítios de phishing utilizam HTTPS.
Senha Higiene
Algumas estatísticas da LastPass resumem os problemas de palavra-passe enfrentados pelas organizações:
- 66% das pessoas reutilizam palavras-passe
- 53% não mudam as suas palavras-passe há mais de 12 meses
- 41% acreditam que as suas contas não são suficientemente valiosas para atrair um hacker
A Formação de Sensibilização para a Segurança deve abranger as razões pelas quais a higiene das senhas é importante e a forma de criar senhas robustas.
Dispositivos móveis
Agora que muitos empregados trabalham a partir de casa ou à distância, pelo menos parte do tempo, a segurança móvel é mais importante do que nunca. Cerca de 70% das fraudes em linha acontecem no canal móvel. A Formação de Sensibilização para a Segurança deve colocar o foco na utilização segura de dispositivos móveis, incluindo Wi-Fi seguro, higiene das aplicações e phishing.
Engenharia social: o que é e como evitar? MetaCompliance
A engenharia social é utilizada para enganar os utilizadores a darem aos fraudadores dados valiosos, tais como credenciais de login e informações pessoais. A engenharia social também desempenha um grande papel em esquemas complexos, tais como o Business Email Compromise (BEC), onde os empregados são enganados para enviar dinheiro para a conta bancária de um fraudador.
Manuseamento de dados sensíveis
Os regulamentos e normas exigem que os processos sejam cumpridos no tratamento de dados sensíveis. A Formação de Sensibilização dos Empregados para a Segurança deve também ter um elemento que abranja o seu papel na manutenção de um tratamento conforme das informações sensíveis e pessoais.
Tornar a Formação de Sensibilização para a Segurança Interessante para os Empregados
A ciber-segurança é tipicamente vista como um assunto enfadonho. No entanto, a Formação de Sensibilização para a Segurança percorreu um longo caminho desde o seu início. Os modernos programas de sensibilização para a segurança são concebidos para se manterem, e isto significa que podem ser interessantes, até mesmo divertidos! Algumas formas de tornar o seu programa de consciencialização de segurança para os funcionários divertido e interessante são:
Brincar: Aprender através da brincadeira é algo que os humanos fazem bem. Quando se diverte a fazer algo, tende a lembrar-se disso. Personalize as suas lições de segurança cibernética de modo a que utilizem jogos para ajudar a fazer com que a formação fique na mente dos seus empregados.
Interagir: As sessões de formação interactiva envolvem os empregados e ajudam-nos a aprender. Alguns programas de formação de segurança oferecem vídeos interactivos que levam os funcionários através de processos típicos de fraude para os ajudar a compreender como podem ser enganados por burlões. Estas sessões interactivas tipicamente dão um feedback rápido aos empregados durante uma sessão de formação.
Relacionar: As pessoas também aprendem bem com jogos ou sessões interactivas de treino que são relatáveis. Deve tentar adaptar o seu programa de Formação de Sensibilização para a Segurança de modo a reflectir as ameaças da vida real que o seu sector empresarial enfrenta. O estudo da aprendizagem de adultos, conhecido como "andragogia", diz isto sobre o ensino de adultos:
"Uma vez que os adultos estão à procura de aprendizagem prática, os conteúdos devem concentrar-se em questões relacionadas com o seu trabalho ou vida pessoal".
Recursos de Formação de Sensibilização em Segurança para os Funcionários
Aqui estão alguns recursos para ajudar com ideias sobre como adaptar a consciência da ciber-segurança aos empregados:
Mês da sensibilização para a segurança: Todo o mês de Outubro é dedicado a uma variedade de tópicos de sensibilização em matéria de segurança, oferecendo conselhos e actividades de formação de funcionários em ameaças à segurança.
O Centro Nacional de Ciber-Segurança: Este organismo nacional dispõe de muitos recursos para ajudar a personalizar as sessões de formação de sensibilização.
Questionário de phishing do Google: Um teste rápido e divertido automatizado que passa por alguns truques comuns de phishing
Ferramenta de simulação de phishing MetaCompliance: MetaPhish é adaptado aos seus empregados e dá uma visão da eficácia da sua formação em segurança.
Cartazes de sensibilização para aciber-segurança: Cartazes gratuitos que pode imprimir ou enviar para lembrar aos funcionários sobre vários aspectos essenciais da cibersegurança.
