O envolvimento é fundamental para construir um melhor comportamento de segurança, mas como manter os funcionários interessados na segurança? A Formação de Sensibilização para a Segurança funciona melhor se uma organização conseguir atingir os mesmos níveis de envolvimento que se vê quando as pessoas falam do seu espectáculo ou equipa de futebol favoritos.
Mais do que nunca, a promoção do compromisso de segurança dos empregados é vital para proteger os dados. Aqui estão mais alguns detalhes sobre o compromisso de segurança, como se relaciona com a Formação de Sensibilização para a Segurança, como encorajar o pessoal a utilizar conteúdos de segurança envolventes, e como o compromisso positivo constrói uma cultura de segurança.
Envolvimento de Segurança vs Sensibilização de Segurança
A Formação de Sensibilização para a Segurança é utilizada para educar os funcionários sobre as várias tácticas e técnicas de fraudadores e cibercriminosos. A formação de consciencialização utiliza muitas técnicas para formar os empregados em todo o local de trabalho. Múltiplos componentes compõem um programa de Formação de Sensibilização para a Segurança. Estes módulos incluem:
- Pacotes de eLearning: formação em linha que educa os empregados sobre golpes e ataques específicos.
- Exercíciossimulados de phishing: mensagens de phishing falsificadas, normalmente entregues por uma plataforma baseada em nuvem, são enviadas aos empregados para os ensinar a detectar truques de phishing.
- Quizzes e vídeos de tamanho pequeno, muitas vezes gamificados, que podem ajudar a avaliar a compreensão de um empregado.
- Focar eventos de formação: educação em áreas tão diversas como a segurança de senhas e expectativas de privacidade de dados.
A Formação de Sensibilização para a Segurança é uma tentativa abrangente de assegurar que o pessoal está sintonizado com a segurança dos dados e com as burlas. No entanto, a menos que a formação se desenrole a nível individual, é pouco provável que seja eficaz. O engajamento acontece quando a comunicação é fluida e relatável. Por outras palavras, as mesmas interacções sociais que promovem relações fortes também encorajam a aprendizagem. Várias técnicas de envolvimento são utilizadas juntamente com a Formação de Sensibilização para a Segurança para cimentar a aprendizagem; o envolvimento é uma parte intrínseca da Formação de Sensibilização para a Segurança eficaz.
Passos para estimular o compromisso de segurança cibernética
O compromisso de segurança acontece quando um indivíduo sente uma ligação com o programa de formação. Há alguns princípios fundamentais que mantêm os funcionários envolvidos durante a Formação de Sensibilização para a Segurança:
Engajamento de cima para baixo
As pessoas sentem-se ligadas quando todos estão envolvidos. Os funcionários superiores têm geralmente uma voz influente numa organização, o que pode ajudar a envolver outros. Assegurar que todos os membros do pessoal, incluindo os da direcção, sejam incluídos na formação de sensibilização para a segurança e compreendam o seu objectivo. Encorajar os membros seniores do pessoal a envolverem-se com outros membros do pessoal durante as sessões de formação ou a promover os resultados positivos da educação em segurança cibernética.
Comunicar
A comunicação clara é utilizada para cimentar as relações e construir o compromisso. Comunique bem para influenciar o seu pessoal. Fale com o pessoal sobre o seu papel na empresa e o que o seu dia típico implica. Onde estão os pontos de pressão? Que conhecimentos de segurança sentem que lhes falta? Recolher este tipo de feedback pode ajudá-lo a adaptar melhor a formação, e a criar módulos envolventes e relatáveis.
Tornar a Formação em Segurança Relatável com o Compromisso de Segurança
Forçar qualquer formação que pareça inútil não será bem sucedida. Os empregados tendem a rebelar-se se pensarem que o seu tempo de trabalho está a ser desperdiçado: a relevância gera envolvimento, por isso torne os seus cursos de formação de segurança relatáveis.
Tornar o treino de segurança divertido
Alguém que se diverte permanece noivo por mais tempo, e as pessoas aprendem melhor quando estão felizes e positivas. Como resultado, muitos serviços de treino de segurança oferecem agora exercícios de treino de segurança gamificada. Isto cria um ambiente feliz e divertido, onde as lições aprendidas ficam na mente das pessoas.
Remover o medo
Um relatório de 2022 da Cisco sobre tendências de ameaça descobriu que pelo menos uma pessoa em 86% das organizações irá clicar num link de phishing. Este comportamento inseguro é difícil de mudar, e incutir medo não é suficiente para fazer essa mudança. Em vez de medo, envolva os funcionários em decisões sobre segurança, envolvendo-os no desenvolvimento de políticas de segurança. Pergunte aos funcionários sobre a sua visão dos controlos de segurança antes de impor a sua utilização. As questões de segurança ocorrem frequentemente quando as pessoas contornam regras mal pensadas ou têm regras aplicadas que interferem com os seus padrões normais de trabalho. Trabalhe com o pessoal para compreender a melhor forma de decidir e implementar os controlos de segurança.
Cenoura, não pau
Incentivar e recompensar o pessoal ao trabalhar com eles em exercícios de formação de segurança. O reforço negativo raramente é bem sucedido. As pessoas trabalham melhor quando são encorajadas através de feedback positivo e recompensando o comportamento positivo. Há muitas formas de tornar gratificante um desafio de sensibilização para a segurança. As ideias incluem pequenos prémios, tais como um prémio de café e bolo para os melhores resultados de phishing simulados. Além disso, o Mês de Sensibilização para a Segurança Cibernética também acontece todos os meses de Outubro e muitas vezes tem dicas sobre a utilização de cenouras em vez de paus para manter os funcionários envolvidos.
Continuar a envolver-se
O conhecimento sobre segurança, como qualquer outra educação, pode ser perdido com o tempo. Por conseguinte, o compromisso com a segurança deve utilizar um princípio de contribuição contínua: realizar sessões regulares de formação com o pessoal para os manter actualizados em relação às últimas ameaças cibernéticas e mantê-los empenhados utilizando as outras técnicas da nossa lista.
Como o compromisso com a segurança está a mudar a formação de sensibilização dos funcionários para a segurança
A era da formação de segurança baseada na sala de aula, sem inspiração, já se foi há muito. Em vez disso, a nova geração de formação de segurança tem a ver com o compromisso com a segurança. Envolver e estimular os funcionários durante as sessões de formação de sensibilização para a segurança resulta em atenção focalizada e melhores resultados. Esta atenção facilita melhores condições de aprendizagem e promove um comportamento de segurança positivo por parte do pessoal.
Uma das formas de encorajar este comportamento positivo é através da formação em consciência de ameaças. As plataformas simuladas de phishing, por exemplo, ajudam a manter a consciência na vanguarda da mente das pessoas. O phishing simulado é interactivo, e as plataformas de phishing simulado avançadas permitem um elevado grau de personalização. Esta personalização de mensagens de phishing falsificadas torna a formação mais relatável e memorável. As plataformas avançadas permitirão a personalização para reflectir os papéis dos empregados, os departamentos específicos, e a língua nativa. Os e-mails de simulação de phishing também se ajustarão ao nível de habilidade de segurança do indivíduo à medida que se tornam mais aptos a detectar um ataque de phishing.
Outro aspecto importante do compromisso é tornar os empregados parte da abordagem de ponta a ponta para proteger a sua empresa e os seus dados. Ao envolver os funcionários em todos os aspectos de uma estratégia de segurança, desde a criação de políticas até à formação em segurança e à comunicação de incidentes, é mais provável que desenvolva essa cultura de segurança tão importante.
O compromisso de segurança também resultará em melhores resultados que podem ser medidos e comprovados usando métricas de sensibilização para a segurança.
Cultivando uma Cultura de Ciber-Segurança
Uma audiência empenhada é uma audiência activa. Os funcionários que fazem parte de uma cultura mais ampla de cibersegurança de uma organização têm mais probabilidades de utilizar um comportamento de segurança positivo. Isto porque as expectativas culturais encorajam e geram conformismo e normas de comportamento. Através de um compromisso de segurança eficaz, a sua organização construirá uma cultura robusta onde a segurança está na mente. O resultado será a redução do risco cibernético e uma melhor moral dos funcionários.
