Security Awareness Training é um método de prevenção de ameaças cibernéticas do qual as empresas de serviços financeiros podem beneficiar. Aqui está uma exploração das principais razões para utilizar esta forma de formação se for uma organização de serviços financeiros.
Os Serviços Financeiros como sector têm assistido a uma enorme transformação digital nos últimos anos. O sector está a adoptar novas tecnologias para assegurar melhores experiências aos clientes e optimizar as operações.
No entanto, a transformação digital significou que o sector também se tornou um alvo para os cibercriminosos: um inquérito de segurança cibernética de 2020 aos CISOs e CIOs no sector dos serviços financeiros, concluiu que 65% das grandes organizações financeiras tinham sofrido um ataque cibernético nos 12 meses anteriores. Outro relatório, desta vez da Boston Consulting, descobriu que o sector financeiro sofreu até 300 vezes mais ataques cibernéticos do que outros sectores.
Formação em Sensibilização para a Segurança dos Serviços Financeiros
O hacker já não reside na cave dos seus pais vestindo um capuz. Em vez disso, gangs hackers sofisticados, financeiramente motivados, por vezes patrocinados pelo Estado, estão a tornar o crime cibernético acessível a todos.
Modelos de negócios que fornecem ferramentas de hacking como um serviço estão fácil e barato disponíveis na teia escura. Estas ferramentas, juntamente com as competências de engenharia social cada vez mais aperfeiçoadas dos cibercriminosos, levaram a um tsunami de ataques cibernéticos. Acrescente-se a esta mistura o trabalho à distância ou em casa e pode ver-se que os planetas da ameaça cibernética estão alinhados.
O Covid-19 tem sido um abre-olhos para organizações em todo o mundo, à medida que proliferavam os esquemas que aproveitavam o medo em torno da pandemia. Esquemas que se concentravam nos empregados, utilizavam truques de phishing baseados em temas do Covid-19 para roubar credenciais de login ou dados pessoais ou para conseguir que um empregado instalasse software malicioso (incluindo software de resgate). À medida que o panorama do trabalho muda, as tácticas de phishing e a engenharia social continuam a ser uma escolha chave dos cibercriminosos com intenção de prejudicar.
Os resultados da engenharia social e do phishing são dispendiosos. Um relatório de 2021 da Sophos concluiu que as empresas de serviços financeiros de média dimensão gastam cerca de 2 milhões de dólares para recuperar de um ataque de resgate; isto é mais do que a média global de 1,85 milhões de dólares. O relatório salienta também que 34% das organizações de serviços financeiros sofreram um ataque de resgate em 2020.
A Formação de Sensibilização para a Segurança é uma resposta eficaz à engenharia social utilizada pelos hackers.
Benefícios da Formação em Sensibilização para a Segurança dos Serviços Financeiros
Para evitar que os cibercriminosos tirem partido de empregados que utilizam técnicas de engenharia social e phishing, as empresas podem recorrer à Formação de Sensibilização para a Segurança. Nos serviços financeiros existem cinco benefícios chave de se envolver num programa de consciencialização:
Mudar o Comportamento de Segurança de Negativo para Positivo
Fraudes, cibercriminosos, burlões, qualquer que seja o nome usado para descrever estas actividades nefastas, todos se concentram no comportamento humano. A sensibilização para a segurança é utilizada para mudar o comportamento de segurança deficiente para criar uma abordagem positiva à segurança das empresas.
A construção de comportamentos de segurança positivos educa o pessoal sobre os perigos da engenharia social. A formação de sensibilização também explora os erros que podem levar à exposição de dados: isto é importante quando se considera que os resultados do EC-Council mostram que 64% dos eventos de perda de dados são atribuídos a pessoas internas que "tiveram boas intenções".
A Formação de Sensibilização para a Segurança ensina aos funcionários de toda a organização sobre a importância da segurança. Um pacote de formação eficaz irá educar o pessoal utilizando conteúdos interactivos e envolventes sobre truques e esquemas de segurança, bem como fornecer exercícios de simulação de phishing que ensinam os funcionários a detectar mensagens de phishing. Uma formação contínua e eficaz de sensibilização para a segurança cria um ciclo de feedback positivo, encorajando o pessoal a lidar com os ataques de segurança.
Pára os golpistas BEC nos seus rastos
A Ransomware pode fazer grandes manchetes de notícias, mas o Business Email Compromise (BEC) afecta mais empresas. O Centro de Reclamações de Crimes na Internet (IC3) do FBI de 2020 mostra que o BEC afecta 4X tantas empresas como o Ransomware. As empresas de serviços financeiros estão em risco de fraude BEC tanto como qualquer organização.
Uma exposição de 2020 do BankInfoSecurity, detalhou várias contas de fraude BEC, incluindo uma envolvendo um banco sediado nos EUA. Neste banco, um funcionário recebeu um e-mail de fraudadores disfarçados de CEO do banco. O e-mail solicitava ao funcionário que enviasse urgentemente uma transferência previamente agendada de $1 milhão. A mensagem incluía uma alteração dos detalhes da conta, especificando que tal se devia "ao surto de coronavírus e aos processos e precauções de quarentena".
Os esquemas de BEC envolvem frequentemente uma vigilância complexa dos empregados. Os burlões chegam mesmo ao ponto de construir relações com operadores de help desk e outros em departamentos relevantes, para descobrir informações sobre os processos da empresa. A Formação de Sensibilização para a Segurança ensina aos empregados sobre os sinais dos esquemas BEC e os tipos de truques de engenharia social utilizados pelos golpistas.
Ajuda a assegurar o cumprimento da regulamentação
Os trabalhadores são parte integrante da manutenção da protecção de dados e da privacidade. As suas acções podem facilmente deslocar uma organização de serviços financeiros para a área do incumprimento. Algo tão simples como uma má gestão de correio electrónico pode resultar numa multa. Um inquérito recente revelou que 58% dos empregados admitiram ter enviado uma mensagem de correio electrónico à pessoa errada.
A Formação de Sensibilização em Segurança ajuda a evitar que os empregados cometam erros. Ter um programa eficaz que oferece métricas e automatização da formação também demonstra o compromisso de uma empresa com a segurança. Ter Formação de Sensibilização para a Segurança implementado é obrigatório ou fortemente encorajado por uma variedade de normas e regulamentos, incluindo ISO27001 e PCI-DSS, que contém o seguinte no requisito 12:
"Implementar um programa formal de sensibilização em matéria de segurança para tornar todo o pessoal consciente da política e procedimentos de segurança de dados do titular do cartão".
Construir um Firewall Humano
Medidas de segurança tais como controlo de acesso robusto, firewalls, protecção de terminais e encriptação são importantes, mas a engenharia social é concebida para passar as soluções de segurança tradicionais. Empregados conhecedores e confiantes na segurança são uma parte vital das medidas de segurança cibernética de uma empresa de serviços financeiros.
Ao utilizar a Formação de Sensibilização para a Segurança, uma empresa pode construir uma 'firewall humana'. Cada membro de uma equipa em toda a organização actua então para reforçar os outros membros dessa equipa. Ao realizar uma formação regular de segurança, a firewall humana torna-se mais forte e mais eficaz na detecção de truques de engenharia social.
Reforçar o moral dos funcionários
Um relatório da Carbonite mostra o impacto de um ataque cibernético a indivíduos, com 24% dos empregados a sofrer uma queda no moral após um ataque. A confiança constrói o moral do pessoal. A Formação de Sensibilização para a Segurança é uma abordagem centrada nas pessoas para garantir os bens de uma organização. Ao dar aos funcionários as ferramentas para ajudar a combater o cibercrime, uma organização está a capacitar o seu pessoal para prevenir um ataque cibernético. A Formação de Sensibilização para a Segurança ajuda não só a manter a organização segura, mas também ajuda a manter o moral do pessoal.
As organizações de serviços financeiros em todo o mundo são um alvo principal para os cibercriminosos e os autores de fraudes. Ter um pessoal instruído faz parte de uma visão mais ampla de 360 graus para proteger uma empresa da devastação destes ataques maliciosos e sinistros.
