Aqui estão as áreas-chave de "preparação e prática" para garantir o sucesso do seu programa de sensibilização para a segurança.
Há um ditado de um autor desconhecido: "Confiança e coragem vêm através da preparação e da prática". Esta sábia afirmação aplica-se a muitas coisas na vida. Também se aplica à concepção e desenvolvimento de um programa de sensibilização para a segurança bem sucedido. As taxas de phishing e malware dispararam devido à COVID, e como os esquemas de engenharia social abundam, é vital garantir que os seus utilizadores finais estejam prontos para as ameaças cibernéticas.
Sete Áreas para Preparar para o Sucesso da Formação de Sensibilização para a Segurança
Uma abordagem sistemática e atenta ao desenvolvimento de um programa de sensibilização para a segurança é a chave para o sucesso. Este sucesso cria uma organização resiliente onde todos trabalham em uníssono para proteger contra ameaças cibernéticas, incluindo phishing e malware.
Aqui estão sete partes do puzzle do programa de sensibilização para a segurança que se encaixam para construir uma cultura de segurança cibernética:
Saiba contra o que está a enfrentar
O conhecimento é poder: a violação de dados, por exemplo, custa muito dinheiro; no Reino Unido, o custo médio de uma violação de dados numa organização mais pequena (PME) é de £16.100 por violação. Uma violação seria suficiente para nos preocuparmos, mas um relatório da Universidade de Cornell e da FreedomPay concluiu que 89% das empresas inquiridas sofreram mais do que uma violação por ano.
O sucesso do seu programa de sensibilização para a segurança depende da compreensão dos tipos e volumes de ameaças e de como funcionam as várias fases de esquemas e ciberataques. O cenário de ameaças muda rapidamente, pelo que é importante manter-se no topo das actividades dos cibercriminosos.
Utilize fontes como as Top Ten Web Application Threats da OWASP e o MITRE ATT&CK; inclua riscos internos acidentais e maliciosos, e procure aconselhamento especializado de terceiros para construir a sua base de conhecimentos
Torne o seu programa de Formação de Sensibilização para a Segurança bem sucedido, tendo uma abordagem proactiva para compreender o panorama da segurança da informação.
Conscientização de Todos a Bordo com a Segurança (Incluindo a Direcção)
A segurança é da responsabilidade de todos: trazer todos para a mesa de Formação de Sensibilização para a Segurança para garantir que a organização tenha uma mentalidade de segurança. Isto ajuda a desenvolver uma cultura de consciencialização centrada nas pessoas. Esta cultura forma o ambiente onde a aprendizagem sobre ameaças à segurança e a forma de lidar com elas pode florescer.
Faça do seu programa de Formação de Sensibilização para a Segurança um sucesso ao envolver-se com todo o pessoal para construir um firewall humano e imbuir o pensamento cultural que cimenta a segurança e evita que as ameaças se tornem um incidente de segurança total.
Manter os Funcionários Empenhados e Tornar a Formação em Segurança Relevante
Envolva e incentive o pessoal: conceba o seu programa de Formação de Sensibilização para a Segurança em torno de módulos interessantes e envolventes. O humor é um elemento importante na aprendizagem. Assegure-se de que a sua Formação de Sensibilização para a Segurança oferece cursos divertidos e diversificados que mantêm a atenção dos funcionários e se concentram nos objectivos chave de aprendizagem.
Faça da sua Formação de Sensibilização para a Segurança um sucesso, utilizando diversão, jogos, e conteúdos relatáveis no seu programa.
Sensibilização dos Empregados para as Funções de Segurança à Medida
Formação de Sensibilização de Segurança à Medida: Os cibercriminosos são experientes em visar indivíduos e papéis específicos dentro de uma organização. Ao fazê-lo, os infractores atingem níveis mais elevados de sucesso porque as suas campanhas de fraude são mais adaptadas e sofisticadas.
Golpes como o Business Email Compromise (BEC) e o spear-phishing estão a registar aumentos acentuados devido a esta taxa de sucesso. No Reino Unido, as provas mostram que metade de todas as pequenas empresas estão em risco de BEC. Utilizadores finais como os CEOs, pessoal que trabalha em contas a pagar, e administradores de sistemas, estão todos em risco.
Torne a sua Formação de Sensibilização para a Segurança Cibernética bem sucedida, utilizando um plataforma de simulação de phishing que oferece títulos de phishing baseados em papéis para adaptar a formação às necessidades específicas de papéis de alto risco na sua organização.
Ter uma Política de Portas Abertas para Comunicar Incidentes de Segurança
Incentivar a comunicação de incidentes: um programa de sensibilização para a segurança bem sucedido não só ensinará ao pessoal como detectar um ataque de segurança, mas também os encorajará a comunicá-lo. Os funcionários devem sentir-se suficientemente confiantes para reportar um incidente sem qualquer reacção negativa. A comunicação precoce e precisa de um incidente de segurança permite que a triagem aconteça rapidamente para impedir que o incidente cause danos. Lembre-se de que os funcionários são a primeira linha de defesa e detecção.
Torne a sua Formação de Sensibilização para a Segurança Cibernética bem sucedida, criando um funcionário que se sinta suficientemente confiante para comunicar um incidente. Dê-lhes os processos e ferramentas para denunciar facilmente incidentes de segurança.
Medir o Sucesso
Métricas de sucesso: um aspecto importante do sucesso é provar o seu sucesso através da medição. Um programa de Formação de Sensibilização para a Segurança deve ser capaz de captar várias métricas à medida que os empregados passam pelos módulos de formação.
Os métodos incluem a utilização de programas de simulação de phishing que capturam automaticamente métricas, por exemplo, quando os empregados clicam num link de phishing malicioso. Outros mecanismos para capturar métricas incluem inquéritos, questionários, e a reacção de um empregado a um evento de engenharia social simulado.
As métricas e outras formas de feedback de formação podem ser utilizadas para optimizar o seu programa de forma a melhorar as taxas de sucesso de formação. A métrica pode também fornecer a informação necessária para mostrar um retorno do investimento (ROI) à direcção e ao conselho de administração.
Torne a sua Formação de Sensibilização para a Segurança Cibernética bem sucedida através de medir todas as variáveis possíveis durante um módulo de aprendizagem. Utilizar uma plataforma de formação que possa captar estes resultados e apresentá-los dentro de um painel de instrumentos como gráficos para uma visão geral de como o programa de formação está a progredir.
Realizar regularmente formação de sensibilização para a segurança
Treinar regularmente: as ameaças contra os nossos negócios estão sempre a mudar à medida que os cibercriminosos trabalham para ajustar as suas tácticas de modo a evitar a detecção. Os esquemas cibernéticos, como o BEC, são cada vez mais sofisticados e estão sempre a ser desenvolvidos novos métodos de phishing que escapam aos sistemas de detecção programática. Para manter os funcionários na vanguarda da prevenção de ataques cibernéticos, a Formação de Sensibilização para a Segurança deve ser feita regularmente.
Torne a sua Formação de Sensibilização para a Segurança Cibernética bem sucedida, mantendo os seus módulos de formação e esforços actualizados.
Esteja Preparado, Seja Bem-Sucedido!
Todos estes elementos-chave de sucesso são utilizados para construir uma cultura de segurança primeiro em toda a organização, incluindo fornecedores, empreiteiros, e quaisquer outros pontos de contacto humano que acrescentem o risco cibernético.
Uma abordagem de segurança-primeira que funciona como parte do funcionamento quotidiano de uma organização garantirá que o seu povo esteja sempre preparado para um ataque cibernético. Esta preparação dá aos funcionários a confiança necessária para agir em caso de eventos e incidentes suspeitos.
O resultado é que a taxa de sucesso da sua Formação de Sensibilização para a Segurança melhora, resultando na redução do risco de a sua organização se tornar vítima de um ataque cibernético ou de um esquema cibernético.
