Em 2022, o mundo empresarial continuou a lidar com as investidas de resgates, esquemas fraudulentos e violações de dados. No entanto, não foram apenas empresas de alto nível que foram atacadas; cuidados de saúde, educação, governo, e pequenas empresas foram todas vítimas de ataques informáticos.
Num relatório de 2022, o Gabinete de Estatísticas Nacionais (ONS) mostrou um aumento de 25% (para 4,5 milhões) em delitos de fraude para o ano que terminou em Março de 2022, em comparação com o ano que terminou em Março de 2020. E em 2022, o phishing era ainda a ameaça mais comum contra as empresas britânicas, com 83% dos ataques a serem baseados no phishing.
No entanto, um novo ano traz novas esperanças e ideias.
A Formação de Sensibilização para a Segurança continua a ser uma prioridade máxima para as empresas que querem combater a fraude, esquemas fraudulentos e outras ameaças cibernéticas. Mas como pode a sua organização melhorar a sua Formação de Sensibilização para a Segurança em 2023?
Aqui estão cinco ideias para que a sua organização esteja apta para a segurança em 2023.
Seja Positivo, Seja Seguro
Os cibercriminosos, especialmente aqueles que utilizam engenharia social e phishingtr, dependem de um comportamento de segurança deficiente para fazer com que os seus esquemas funcionem. Uma boa formação em segurança cibernética consiste em mudar o comportamento de segurança negativa para uma postura mais positiva. No entanto, a mudança de padrões de comportamento requer trabalho.
O comportamento, tal como a vontade de clicar, é um padrão aprendido e a mudança de acções profundas requer um esforço concertado envolvendo estratégias tais como campanhas simuladas de phishing. Melhore o seu conteúdo de Formação de Sensibilização para a Segurança através de campanhas baseadas em estratégias comprovadas, tais como a aprendizagem interactiva que muda maus hábitos comportamentais para acções positivas. A aprendizagem interactiva e o conteúdo cativante irão impulsionar o envolvimento dos funcionários e ajudar a sua organização a desenvolver uma cultura de segurança positiva.
Mantenha-o Relevante e Interessante
O organismo da indústria de segurança, ISACA, pesquisou como melhorar a Formação de Sensibilização para a Segurança. A investigação envolveu mais de 5000 organizações de todo o mundo. O estudo encontrou provas claras de que uma Formação de Sensibilização para a Segurança eficaz exigia o tipo correcto de entrega de conteúdos interessantes e relevantes.
Incluído nas conclusões do ISACA foi que a informação deveria ser entregue em pequenos pedaços após a primeira sessão e em frequências regulares para reforçar a aprendizagem. O tipo de informação também é importante. Estudos de casos reais ajudaram a cimentar o conhecimento e a reforçar a importância de bons comportamentos de segurança.
Os investigadores descobriram que o conteúdo deve ser "pertinente, relacionado com a teoria e a prática, e contar uma história". Utilizar material de Formação de Sensibilização para a Segurança, tais como pequenos vídeos explicativos e exercícios de simulação de phishing, para envolver os empregados e tornar o conteúdo relatável e relevante.
Recompensar o Sucesso, e Não Jogar o Jogo da Culpa
Ninguém gosta de jogar o jogo da culpa, e a Formação de Sensibilização para a Segurança deve evitar usar a culpa ao formar empregados. O problema com a atribuição de culpas é que pode causar a perda de confiança das pessoas, levando a percalços ainda piores.
Desenvolver uma postura robusta de segurança cibernética leva tempo e baseia-se em muitos aspectos dos sistemas informáticos, pessoas e processos da organização. Não culpe os funcionários por erros de segurança, mudanças tecnológicas, e os cibercriminosos mudam as técnicas; em vez disso, use um comportamento de segurança deficiente como desculpa para mudar o comportamento e aprender com os erros.
Os programas de Formação Avançada de Sensibilização para a Segurança proporcionarão sessões interactivas de formação durante um exercício para mostrar aos empregados onde erraram e como garantir que não repetem o mesmo comportamento.
Além disso, recompensar o sucesso em vez de usar a culpa para envergonhar. Se os empregados se saírem bem nas sessões de formação, oferecer-lhes pequenas recompensas e incentivar o bom comportamento.
Gerar dados accionáveis
O sistema métrico oferece uma visão vital da eficácia de um módulo de Formação de Sensibilização para a Segurança; alguns sistemas avançados fornecem visões altamente granulares, ao longo do tempo, e numa base individual, sobre a eficácia de formação de um dado módulo.
Os módulos de simulação de phishing, por exemplo, geram dados numa base de empregado, mostrando as curvas de aprendizagem dos empregados à medida que estes desenvolvem as competências para identificar ameaças transmitidas por correio electrónico. Utilizar dados de métricas de segurança para afinar os seus módulos de formação e identificar comportamentos difíceis de alterar para uma maior atenção - visar papéis e grupos específicos, utilizando métricas para ajudar a conceber campanhas de phishing simuladas à medida. Ao longo do tempo, o feedback fornecido pela métrica de formação granular permitir-lhe-á desenvolver sessões de formação mais eficazes.
Integrar a Formação em Segurança com a sua Organização
As normas de segurança devem ser estabelecidas a nível organizacional, integrando indivíduos com uma cultura de segurança onde a segurança está em primeiro lugar. Uma Formação de Sensibilização para a Segurança bem sucedida é sobre a maturação dos métodos e abordagens, e não apenas sobre os esforços da "caixa de tick-box" para cumprir os regulamentos.
No entanto, os requisitos regulamentares para a Formação de Sensibilização para a Segurança devem ser utilizados como base para estabelecer métricas sobre a eficácia da sua formação. Ao combinar os objectivos organizacionais com a formação de segurança, esta abordagem move o fardo da segurança de um esforço individual para um esforço colectivo: construir um programa de Formação de Sensibilização para a Segurança que se adapte às suas necessidades de segurança organizacional e incorpore todos desde o nível da direcção até às sessões de formação. Certifique-se de que cada departamento tem programas de formação adaptados que reflectem as ameaças do mundo real. Por exemplo, esquemas como o Business Email Compromise (BEC) visam departamentos, tais como o gabinete do CEO e contas a pagar.
As hipóteses de 2023 serão tão desafiantes para as empresas que lidam com ameaças à segurança como nos anos anteriores. Nenhuma organização, independentemente da sua dimensão ou indústria, pode sentar-se sobre os seus louros e esperar que não seja um alvo.
No entanto, o nosso povo é a nossa força. Ao aplicar estas cinco estratégias de melhoria ao seu programa de Formação de Sensibilização para a Segurança para 2023, pode ajudar a desenvolver uma postura robusta de segurança cibernética e capacitar os seus empregados contra cibercriminosos e vigaristas.
