Formação personalizada de sensibilização para a segurança

Uma das formas mais importantes de controlar o lado humano das violações da cibersegurança é utilizar uma formação personalizada de sensibilização para a segurança para os empregados.

Desde a perda de confiança dos clientes até ao horror das multas por incumprimento, as violações de dados são agora uma preocupação diária das empresas de todos os sectores. Manter-se a par dos riscos de segurança é um desafio.

Seria maravilhoso se a segurança de TI se resumisse à utilização de uma peça de tecnologia para fechar a porta aos cibercriminosos; mas, como mostra um estudo da IBM que explora o custo de uma violação de dados, a maioria das ciberameaças tende a ter um funcionário como causa principal; seja um simples erro humano, ou pessoas internas mal-intencionadas, phishing ou credenciais comprometidas.

Importância da formação de sensibilização para a segurança para os funcionários

Como todos sabemos, a educação é importante na vida. Esta educação estende-se ao comportamento e à segurança; se uma pessoa compreender por que razão age de uma determinada forma, pode mais facilmente mudar qualquer comportamento negativo.

Ao sensibilizar os funcionários e não funcionários para o funcionamento da cibersegurança, estes podem fazer parte de uma equipa instruída que desempenha um papel positivo na redução dos ciberataques a uma organização.

Os seres humanos agem de determinadas formas devido a normas comportamentais e ao condicionamento prévio para utilizarem mais facilmente os computadores. Este comportamento é utilizado para manipular os empregados para que realizem acções que beneficiem os autores das fraudes.

Isto é confirmado por estudos que mostram que a manipulação do comportamento humano é a ferramenta de eleição no cibercrime. Pode ser o malware a fazer o trabalho de exfiltração de dados, mas os seres humanos abrem a porta às ciberameaças através de erros humanos, engenharia social e phishing. Eis três razões principais pelas quais a formação em sensibilização para a segurança é importante para os empregados:

A formação em sensibilização para a segurança centra-se no ser humano na cadeia de ameaças

De acordo com a ENISA, mais de 95% dos e-mails de phishing requerem intervenção humana para iniciar a infeção por malware.

A formação de sensibilização para a segurança reduz os custos

O estudo da IBM mencionado anteriormente concluiu que os cursos de formação dos funcionários eram uma das principais formas de reduzir o custo médio de uma violação de dados.

A formação de sensibilização para a segurança pega nas políticas e transforma-as em acções

Um outro estudo da ENISA sobre a cultura da cibersegurança sublinha a importância da aplicação das políticas de segurança. O relatório concluiu que os utilizadores finais consideram as políticas de segurança como “orientações, mas não como regras”. O relatório salienta a importância de mudar a mentalidade dos empregados em matéria de segurança para ajustar a perceção do risco, utilizando uma cultura de segurança organizacional coordenada, em vez de coagir um comportamento seguro.

Tópicos essenciais da formação de sensibilização para a segurança para os funcionários

Os programas de formação de sensibilização para a segurança contêm várias áreas temáticas que são essenciais para uma formação eficaz. Seis dos mais importantes são:

Phishing

Os ataques de phishing continuam a ser um dos principais métodos que conduzem a violações de dados. Juntamente com a falta de formação e uma má higiene das palavras-passe, os ataques de phishing estão entre as três principais formas de infeção por ransomware. A formação de sensibilização para a segurança dos funcionários deve incluir uma compreensão do funcionamento do phishing e dos tipos de phishing existentes, por exemplo, phishing de correio eletrónico, phishing de voz (Vishing), phishing de texto (SMShing) e spear phishing. A simulação de phishing faz frequentemente parte de um pacote de sensibilização. Os exercícios de phishing simulado são adaptados para enviar e-mails de phishing de teste para treinar os utilizadores nos truques típicos que os fraudadores utilizam. Muitos programas de formação de sensibilização para a segurança também oferecem vídeos interactivos para ajudar a detetar os vários tipos de fraude que utilizam o phishing.

Segurança na Web

Em 2020, o Google registou mais de 2 milhões de sites de phishing. Os URLs maliciosos podem causar roubo de credenciais e infeção por malware, mesmo sem a interação do utilizador. É importante dar formação aos utilizadores finais sobre como detetar sítios Web/scams que visam infetar redes. Isto está a tornar-se mais difícil porque os sítios de phishing são frequentemente “sítios seguros”; o Anti-Phishing Working Group (APWG) mostra que 83% dos sítios de phishing utilizam HTTPS.

Higiene da palavra-passe

Algumas estatísticas do LastPass resumem os problemas de palavras-passe enfrentados pelas organizações:

• 66% das pessoas reutilizam as palavras-passe
• 53% não alteram as suas palavras-passe há mais de 12 meses
• 41% acreditam que as suas contas não são suficientemente valiosas para atrair um hacker

A formação de sensibilização para a segurança deve abranger as razões pelas quais a higiene das palavras-passe é importante e como criar palavras-passe sólidas.

Dispositivos móveis

Agora que muitos funcionários trabalham a partir de casa ou remotamente, pelo menos uma parte do tempo, a segurança móvel é mais importante do que nunca. Cerca de 70% das fraudes em linha ocorrem no canal móvel. A formação de sensibilização para a segurança deve centrar-se na utilização segura dos dispositivos móveis, incluindo Wi-Fi seguro, higiene das aplicações e phishing.

Engenharia social

A engenharia social é utilizada para enganar os utilizadores e levá-los a fornecer dados valiosos aos fraudadores, tais como credenciais de início de sessão e informações pessoais. A engenharia social também desempenha um papel importante em fraudes complexas, como o Business Email Compromise (BEC), em que os funcionários são enganados para enviar dinheiro para a conta bancária de um fraudador.

Tratamento de dados sensíveis

Os regulamentos e as normas exigem que os processos sejam cumpridos no tratamento de dados sensíveis. A formação de sensibilização para a segurança dos empregados também deve incluir um elemento que abranja o seu papel na manutenção da conformidade do tratamento de informações sensíveis e pessoais.

Tornar a formação de sensibilização para a segurança interessante para os funcionários

A cibersegurança é normalmente vista como um assunto aborrecido. No entanto, a formação de sensibilização para a segurança percorreu um longo caminho desde a sua criação. Os programas modernos de sensibilização para a segurança são concebidos para se manterem, o que significa que podem ser interessantes e até divertidos! Algumas formas de tornar o teu programa de sensibilização para a segurança para os funcionários divertido e interessante são:

Brinca: Aprender através da brincadeira é algo que os humanos fazem bem. Quando te divertes a fazer uma coisa, tens tendência a lembrar-te dela. Adapta as tuas aulas de cibersegurança de modo a que utilizem jogos para ajudar a fixar a formação na mente dos teus empregados.

Interage: As sessões de formação interactivas envolvem os funcionários e ajudam-nos a aprender. Alguns programas de formação em segurança oferecem vídeos interactivos que conduzem os funcionários através de processos típicos de burla para os ajudar a compreender como podem ser enganados pelos burlões. Estas sessões interactivas dão normalmente feedback imediato aos empregados durante uma sessão de formação.

Relaciona-te: As pessoas também aprendem bem com jogos ou sessões de formação interactivas que são relacionáveis. Deves tentar adaptar o teu programa de formação de sensibilização para a segurança de modo a refletir as ameaças reais que o teu sector de atividade enfrenta. O estudo da aprendizagem de adultos, conhecido como “andragogia“, diz o seguinte sobre o ensino de adultos:

“Uma vez que os adultos procuram uma aprendizagem prática, os conteúdos devem centrar-se em questões relacionadas com o seu trabalho ou vida pessoal.

Recursos de formação de sensibilização para a segurança para os funcionários

Seguem-se alguns recursos para te ajudar com ideias sobre a forma de sensibilizar os empregados para a cibersegurança:

Mês da sensibilização para a segurança: Todo o mês de outubro é dedicado a uma variedade de tópicos de sensibilização para a segurança, oferecendo conselhos e actividades de formação dos empregados sobre ameaças à segurança.

O Centro Nacional de Cibersegurança: Este organismo nacional dispõe de muitos recursos para ajudar a adaptar as sessões de formação de sensibilização.

Teste de phishing do Google: Um teste automático rápido e divertido que analisa alguns truques de phishing comuns

Ferramenta de simulação de phishing MetaCompliance: O MetaPhish é adaptado aos teus empregados e dá uma ideia da eficácia da tua formação em segurança.

Cartazes de sensibilização para a cibersegurança: Cartazes gratuitos que podes imprimir ou enviar para relembrar os funcionários sobre vários aspectos essenciais da cibersegurança.