Os erros acontecem, é inevitável. 

Mas a realidade é que
quando se trata da tua Campanha de Sensibilização para a Cibersegurança, qualquer erro, por mais
pequeno que seja, pode ter um efeito extremamente prejudicial na segurança da tua
organização.

Os resultados destes erros aparentemente inocentes são
continuamente divulgados na imprensa com relatórios diários sobre violações de dados, ataques cibernéticos
e multas pesadas impostas por práticas negligentes de cibersegurança.

Vivemos agora numa era diferente, uma era que exige uma melhor abordagem à cibersegurança. A tua campanha de sensibilização para a cibersegurança não pode ser apenas uma tentativa sem brilho de marcar uma caixa. Tem de mitigar o risco, proporcionar uma verdadeira defesa contra as ameaças cibernéticas e educar o pessoal sobre a importância do seu papel na proteção dos dados sensíveis da empresa.

Pode ser difícil saber por onde começar ou que áreas
apresentam o maior risco, mas ao reconhecer os erros de sensibilização mais comuns em matéria de segurança
, pode começar a desenvolver uma campanha robusta de sensibilização para a segurança cibernética
 que defenda contra a evolução das ciberameaças e
cumpra efetivamente os quadros regulamentares.

Alguns dos erros mais comuns de sensibilização para a segurança incluem:

1. uma abordagem blasé à cibersegurança

Muitas organizações falam da cibersegurança mas não levam a ameaça suficientemente a sério. Podem acreditar que são demasiado pequenas para serem atacadas ou que o dinheiro poderia ser investido noutras áreas onde há um retorno mais imediato do investimento. Estas são suposições perigosas.

De acordo com o Relatório de Investigações de Violação de Dados (DBIR) da Verizon de 2019, 43% de todos os ciberataques visam agora as pequenas empresas. A realidade é que os cibercriminosos estão cada vez mais a perseguir as organizações de pequena e média dimensão, uma vez que, normalmente, têm menos dinheiro e recursos para investir na cibersegurança. Podem ser as grandes marcas que fazem as manchetes, mas todas as organizações são um alvo e precisam das medidas de cibersegurança adequadas para se defenderem contra ataques.

O erro humano continua a ser a causa principal de todas as violações da cibersegurança, pelo que é vital que a tua organização implemente uma campanha eficaz de sensibilização para a cibersegurança que ensine o pessoal a identificar e a responder adequadamente às ameaças em evolução.

2. Sem objectivos claros

Para que a tua campanha de sensibilização para a segurança seja bem sucedida, deves
ter objectivos claramente definidos que descrevam o que esperas alcançar. Os teus
objectivos devem identificar e abordar os problemas que a tua organização
enfrenta atualmente. Podem ser ataques de phishing, trabalho remoto, segurança da palavra-passe
, questões regulamentares ou segurança física. Os cibercriminosos estão
continuamente à procura de áreas para explorar, por isso, a menos que a tua campanha de sensibilização para a segurança
identifique corretamente todas as áreas de risco, a tua organização está vulnerável
a ataques.

O passo seguinte é identificar o teu público-alvo. Os diferentes funcionários da sua organização enfrentam ameaças diferentes, por isso, em vez de enviar o mesmo conteúdo genérico a todos, os seus funcionários devem receber formação específica que seja relevante para a sua função. Ao realizar uma avaliação de risco detalhada, a sua organização estará em muito melhor posição para criar uma campanha de sensibilização para a segurança com objectivos claros que podem ser medidos e avaliados adequadamente numa data posterior.

3. Conteúdo aborrecido

A tua campanha de sensibilização para a cibersegurança está condenada se continuares a bombardear o teu pessoal com o mesmo conteúdo insípido e repetitivo. A cibersegurança já é um tema suficientemente árido, sem ter de o agravar com longas apresentações em PowerPoint e monótonas apresentações de diapositivos que não têm qualquer papel na transmissão da ameaça muito real que os cibercriminosos representam para a tua empresa. E não te iludas, estas ameaças são reais. Independentemente da dimensão, sector ou localização, todas as organizações são vulneráveis e serão ativamente visadas pelos cibercriminosos.

A chave para mitigar este risco e criar uma força de trabalho mais segura em termos cibernéticos é através da utilização de conteúdos envolventes e relevantes. Contar histórias é uma forma muito eficaz de ajudar a reforçar as tuas mensagens de cibersegurança. De acordo com a investigação da Universidade de Stanford, as histórias são até 22 vezes mais memoráveis do que os factos por si só. Se conseguires fazer com que a cibersegurança se torne relacionável, é mais provável que os teus empregados retenham a informação, melhorando assim a postura geral de segurança da tua organização.

Também é importante utilizar uma variedade de métodos e formatos diferentes para manter a tua audiência envolvida. Vídeos de ação ao vivo, animação, questionários, políticas, blogues e cartazes de sensibilização podem ser combinados para criar um programa de segurança abrangente que tenha um impacto positivo no comportamento dos funcionários.

4. Formação pouco frequente

No passado, as organizações organizavam um curso anual de cibersegurança em
e esperavam que fosse suficiente para manter o seu pessoal atualizado sobre as ameaças mais recentes. No entanto, os tempos mudaram. As ciberameaças estão
em constante evolução, pelo que, a menos que o seu pessoal receba formação regular, não será capaz de
reconhecer as ameaças sofisticadas que estão a ser utilizadas para
os atingir.

Normalmente, os cibercriminosos tentam infiltrar-se na tua organização explorando vulnerabilidades no software, phishing, malware ou através de más práticas de segurança em geral. À medida que nos tornamos mais informados sobre estes diferentes tipos de métodos de ataque, os cibercriminosos tiveram de se tornar mais engenhosos nas suas tentativas de nos defraudar. Atualmente, 30% dos eventos de segurança podem ser atribuídos a funcionários descuidados ou desinformados, pelo que, a menos que o teu pessoal receba formação regular, pode representar uma ameaça significativa para a segurança da tua organização.

5. Não recompensa o pessoal

Pode ser demasiado fácil ficar preso na tentativa de identificar os indivíduos que representam um risco de segurança para a sua organização, em vez de recompensar os membros do pessoal que estão ativamente a identificar ameaças, a praticar bons comportamentos de segurança e a motivar os colegas no processo. Estes são os membros da equipa que são fundamentais para o sucesso do seu programa de sensibilização para a segurança e devem ser recompensados em conformidade.

As recompensas podem incluir troféus, prémios ou elogios públicos e o reconhecimento de que os seus esforços estão a ser apreciados. Está cientificamente provado que as recompensas influenciam ocomportamento humano, por isso, ao criar um programa de incentivos que recompense comportamentos de segurança positivos, é mais provável que crie uma força de trabalho cibersegurança empenhada em proteger a sua organização.

A Gartner elaborou um documento de investigação pormenorizado que destaca 10 erros comuns de sensibilização para a segurança e a forma como podem ser evitados. Para ler o documento de investigação e descobrir como podes mudar os comportamentos de segurança na tua organização, visita