Um inquérito recente do Governo do Reino Unido, “Cyber resilience captains of industry survey 2021“, apresenta algumas informações interessantes sobre a sensibilização para os riscos de cibersegurança ao nível da direção e do conselho de administração de uma organização.

O inquérito revelou que quase todos os inquiridos consideram que o conselho de administração incorpora considerações sobre o risco cibernético nos assuntos gerais da empresa. No entanto, o relatório faz a seguinte advertência:

“Os capitães ainda acham que é possível fazer mais para equipar os membros do conselho de administração para lidarem com as ciberameaças. Os capitães mencionaram mais frequentemente a sensibilização dos membros do Conselho de Administração e a formação específica

A C-Suite e a direção são grupos específicos que requerem formação personalizada para satisfazer as suas necessidades específicas. Aqui estão algumas ideias para criar um programa de sensibilização para a segurança para a sua C-Suite.

Porquê dar formação aos C-Suite?

As pessoas que trabalham no C-Suite são influentes na sua empresa, e essa influência é vital para ajudar a fornecer uma consciencialização de segurança consistente e eficaz em toda a organização. Por isso, faz sentido visar este grupo numa campanha de sensibilização para a segurança.

O “tom no topo” é um fenómeno bem conhecido na gestão dos riscos de segurança. Este “tom no topo” é destacado no manual da Associação Europeia de Diretores (ecoDa), que oferece várias recomendações fundamentais para a mitigação de riscos numa era de ciberameaças volumosas. Uma das recomendações é dar o tom da consciencialização em toda a organização – o relatório afirma o seguinte:

O conselho de administração e a direção devem dar o tom no topo, desenvolver a cultura certa e aumentar a sensibilização para desenvolver a ciber-resiliência.

Os componentes de um programa de sensibilização para a segurança direcionado para a C-Suite

É digno de nota o facto de o relatório do governo do Reino Unido sobre o capitão da indústria ter concluído que a sensibilização para a segurança chegou à sala de reuniões. No entanto, a direção e os membros do conselho de administração devem fazer parte de um programa de sensibilização para a segurança geral e específica. A sensibilização a este nível pode cimentar a cultura de uma mentalidade de segurança em primeiro lugar.

Eis os factores críticos de uma campanha de sensibilização dirigida a um C-Suite:

Cria a tensão com o risco

O C-Suite tem muitas bolas para fazer malabarismos. A atividade principal de uma empresa deve estar sempre em primeiro lugar. Mas, se esta atividade principal for posta em risco devido a ciberameaças, então a empresa deve dar prioridade a estas ameaças.

Prepara o cenário para a formação C-Suite mostrando o retorno do investimento na realização de um programa de formação de sensibilização para a segurança. Alguns números que podem ajudar a definir isto encontram-se no  Relatório da IBM e da Ponemon sobre o custo de uma violação de dados: o Reino Unido é um dos países com maiores custos de violação de dados, com uma média de 4,67 milhões de dólares (3,8 milhões de libras) por violação.

Assim que tiveres a adesão do teu C-Suite, podes criar a estrutura para um programa eficaz de Formação de Consciencialização para a Segurança que vise os que estão no topo.

Executa o programa de sensibilização para a segurança com base na função do C-Suite

Os cibercriminosos estão cada vez mais a concentrar os seus esforços nos indivíduos e nas funções de uma organização. Isto faz sentido, pois quanto mais as pessoas estiverem conscientes das questões de segurança, mais difícil será enganar os empregados. No entanto, se um hacker compreender o seu alvo, pode criar e-mails de phishing inteligentes e difíceis de reconhecer. A C-Suite está na mira dos cibercriminosos porque é o coração financeiro da empresa e o lugar de autoridade.

Um ataque focado na suíte C aconteceu à empresa americana Scoular Co, que foi vítima de Business Email Compromise (BEC). A empresa perdeu 17,2 milhões de dólares para os cibercriminosos através de três transferências bancárias, depois de os autores da fraude terem visado o CEO da empresa utilizando e-mails falsos.

O relatório Verizon 2021 Data Breach Investigations Report (DBIR) refere a importância de adaptar a formação de sensibilização para a segurança e conclui:

Não existe uma abordagem única para minimizar os riscos humanos que levam a violações. Cada empresa experimenta diferentes sabores dos mesmos tipos de ataques e deve personalizar os seus programas de engenharia comportamental e de educação em segurança cibernética em conformidade .”

Concebe a tua formação de sensibilização para a segurança em função das funções da empresa e inclui as funções do C-Suite. Concentra-te nos tipos de ataques que visam o pessoal de nível C, como o BEC e a falsificação de identidade do CEO.

Coloca o Social no C-Suite

Os cibercriminosos que têm como alvo os “grandes phish”, como o CEO e o CFO, descobrem a sua presa. Fazem-no como parte da cadeia de engenharia social que utiliza várias técnicas para manipular o comportamento.

Uma dessas tácticas é fazeres-te passar por executivos, também conhecido como “whaling” ou “executive impersonation”. Um exemplo infame disto foi um  2019, que falsificou a voz do diretor executivo da empresa para enganar o diretor-geral do Reino Unido, levando-o a enviar 243 000 dólares para a conta bancária do autor da fraude.

Esta forma de engenharia social está a aumentar, com um Aumento de 131% registado em 2020-2021. Estes tipos de fraude baseiam-se na construção de um perfil do alvo para fornecer a inteligência necessária para efetuar a engenharia social.

Coloca a sensibilização para a engenharia social no teu calendário de formação em segurança e dá formação aos teus executivos sobre a sua vulnerabilidade nesta área…

Lança o Spear-Phish no C-Suite

A C-Suite está em risco devido a ataques de spear-phishing, que são uma forma direcionada de phishing. Uma recente campanha de e-mail de phishing utilizou e-mails falsos do Microsoft Office 365 para roubar credenciais. A campanha visava os executivos C-Suite e os seus assistentes em muitos sectores.

Ao fazer Spear-phishing na C-Suite, o cibercriminoso vai diretamente ao decisor de uma organização. O spear phishing funciona porque os e-mails falsos são baseados em informações conhecidas sobre o alvo. Os spear-phishers utilizam frequentemente as aplicações exactas, como o Office 365, que uma empresa utiliza regularmente.

Cria uma sofisticada campanha de phishing simulada que é especificamente dirigida ao seu C-Suite. Utiliza os teus conhecimentos de phishing baseado em funções para criar e-mails de spear-phishing de aspeto realista que visam os teus C-Suite. Usa uma plataforma avançada de phishing simulado que utiliza a aprendizagem “point of need”. Isto capta os problemas de comportamento quando estes ocorrem e dá ao utilizador informações sobre o que correu mal e porquê.

Conhece o teu C-Suite através de métricas de formação de sensibilização para a segurança

As plataformas de simulação de phishing, como a MetaPhish, fornecem métricas sob a forma de um painel de controlo que apresenta os resultados dos dados das simulações de phishing. Isto dá-te feedback sobre quantos dos teus colaboradores clicaram numa ligação de um e-mail de phishing simulado. Os relatórios podem até mostrar o dispositivo utilizado para aceder ao e-mail de phishing; isto permite-te adaptar e concentrar os teus esforços na melhoria do comportamento de segurança dos executivos.

Define o tom para a cibersegurança no topo

Os teus executivos que trabalham na C-Suite são os teus influenciadores internos. Mas eles precisam de ser exemplares de um excelente comportamento de segurança para dar o exemplo a toda a força de trabalho. Definir o tom para a segurança no topo encorajará uma mentalidade de segurança em primeiro lugar. Esta mentalidade de segurança em primeiro lugar é essencial para criar uma cultura de segurança e mitigar o risco cibernético da empresa.

Formação de sensibilização para a segurança para fornecedores terceiros