Aqui estão algumas formas de capturar a medida por medida do seu programa de Formação de Sensibilização para a Segurança.
Quando uma medição é feita sobre algo, dá-nos dados. Quer esses dados sejam sobre o comprimento de um pedaço de fio ou sobre o comportamento de um empregado, quando confrontados com um e-mail de phishing, tenham mudado, esses dados dão-nos uma importante visão sobre uma tarefa ou projecto.
O sucesso, ou não, de um programa de Formação de Sensibilização para a Segurança (SAT) pode ser medido de mais de uma forma, e ao fazê-lo, fornece conhecimentos importantes sobre a eficácia da formação. Mas como optimizar estas medições requer uma equipa multifuncional com visão.
Porquê medir a eficácia de um Programa de Formação de Sensibilização para a Segurança?
Um documento recente da Gartner inc., "Take 3 Steps to Prove That Your Security Awareness Program Is actually working" (Dê 3 passos para provar que o seu programa de sensibilização para a segurança está realmente a funcionar), expõe os porquês e como é que se mede um programa SAT. O documento, escrito para gestores de segurança e de risco, identificou três razões-chave para a importância da medição do Programa de Sensibilização para a Segurança:
- Se não conseguir demonstrar que o risco cibernético é reduzido através do programa, não obterá a adesão ao nível C para continuar a Formação de Sensibilização para a Segurança.
- A Formação de Sensibilização para a Segurança é muitas vezes lançada numa organização sem ter uma visão clara do que esta está a tentar alcançar. Isto resulta num programa que não alcança as mudanças comportamentais necessárias para reduzir o risco cibernético.
- A medição do sucesso de uma Formação de Sensibilização para a Segurança não pode ser baseada em variáveis únicas. Estes programas contêm muitos elementos e estes precisam de ser capturados para mostrar o verdadeiro impacto de um programa SAT.
Um dos pontos principais do documento é que uma visão clara deve estabelecer a linha de base de um programa de sensibilização para a segurança. Sem esta visão clara do que se pretende alcançar, as medições não terão qualquer significado. Dito de outra forma, as medições são mais eficazes se tiverem um ponto de partida como ponto de comparação. Esta visão deve, contudo, estar directamente ligada aos resultados do negócio. Uma forma de estabelecer esta linha de base é utilizando uma abordagem multifuncional, ou seja, reunindo equipas para além das fronteiras organizacionais para contribuir para o que é importante na atenuação do risco cibernético.
Isto alinha a visão de segurança cibernética com objectivos empresariais; esta abordagem é um exercício contínuo e a melhor prática, uma vez que os ataques cibernéticos causam caos contínuo em todos os sectores da indústria. As decisões comerciais e operacionais estão agora intrinsecamente interligadas com a segurança. A pandemia Covid-19 e os mandatos de trabalho a partir de casa demonstraram este ponto, com o aumento do risco de segurança do trabalho a partir de casa; os trabalhadores domésticos oferecem mais oportunidades para os cibercriminosos atacarem uma rede de empresas através dos seus empregados.
Mas uma visão precisa de medidas demonstráveis para mostrar que está a cumprir a sua missão. Mostrar a um nível C ou quadro o quão bem um programa está a progredir requer factos concretos. É aqui que entra a medição.
Três Maneiras de Medir o Sucesso do Programa de Formação de Sensibilização para a Segurança
O jornal Gartner menciona três coisas chave que provam que o seu programa de sensibilização para a segurança está a funcionar. Estas três áreas podem ser subdivididas:
Gerar
Gerar uma declaração de visão baseada na cultura de segurança: de que é que a sua organização necessita a partir do programa de sensibilização para a segurança? Que comportamentos de segurança quer ver sair da educação dos funcionários em matéria de segurança?
Captura
Capturar a métrica do comportamento de segurança: criar métricas de sensibilização para a segurança que demonstrem uma mudança significativa e positiva do comportamento de segurança. Estas métricas podem tomar a forma de métricas tradicionais de sensibilização para a segurança a partir de inquéritos e simulações de phishing, como exemplos.
Demonstre
Demonstrar a redução da exposição ao risco: mostrar à equipa Cx mudanças rastreáveis no comportamento de segurança relacionadas com resultados materiais em termos de redução da exposição ao risco cibernético.
Capturar Métricas e Mudanças de Comportamento
A visão de segurança é o pivô sobre o qual gira a captura de métricas e provas comportamentais. Esta visão forma então as provas necessárias para demonstrar à equipa Cx que a Formação de Sensibilização para a Segurança funciona. Há muitas formas de medir métricas de segurança, e a MetaCompliance já discutiu as medidas de Formação de Sensibilização para a Segurança num post anterior no blogue.
A medição fornece dados quantificáveis que fornecem a base para uma avaliação do Retorno do Investimento (ROI). Mas uma simples equação do ROI não capta o impacto positivo, contínuo, de um programa de sensibilização para a segurança bem desenvolvido. A visão central de segurança de uma organização deve ser mapeada para validar os resultados finais que vêem reduzido o risco global cibernético de uma organização. Esta visão de uma organização segura tem de ser mapeada para o pensamento inicial em matéria de segurança e a mudança de comportamento associada.
Para ajudar no seu exercício de medição, o documento do Gartner fala sobre "Signature behaviours", que descreve como "Signature behaviors are those that clear reflect positive intent and support by end-users for realising the security awareness vision".
O Gartner mapeia alguns exemplos de práticas de segurança desejadas contra comportamentos de segurança de assinatura:
Praticar: Todos os utilizadores finais utilizam palavras-passe fortes
Comportamento: Utilizamos sempre frases-passe para construir as nossas senhas de acesso às nossas contas de trabalho
Praticar: Verifique as ligações antes de clicar nelas
Comportamento: Estamos atentos e comunicamos e-mails suspeitos ao serviço de TI
Como parte da sua visão de segurança, trabalhe com a sua equipa multifuncional para desenvolver um conjunto de comportamentos de assinatura que possam depois ser utilizados para demonstrar o sucesso do programa de Formação de Sensibilização para a Segurança.
A prova do Pudding através de uma melhor segurança
Em última análise, uma empresa quer ver que o seu investimento num programa de sensibilização para a segurança se reflecte numa diminuição das hipóteses de que os seus dados sejam violados. Ao avaliar comportamentos de assinatura contra tipos de ameaça, uma organização pode enriquecer uma simples equação de ROI com valor acrescentado.
A prova da formação de segurança está no pudim. Com o tempo, um programa bem planeado e eficaz de Formação de Sensibilização para a Segurança irá mostrar uma redução nos ataques cibernéticos. Mas uma visão forte é onde tudo isto começa.
