Não vale a pena fazer nada na vida, a menos que saiba que vale a pena e que o que está a fazer vai funcionar. Este pensamento aplica-se a muitos aspectos de um negócio, incluindo um programa de sensibilização para a segurança.
Quando uma empresa põe em prática um programa de sensibilização para a segurança, deve ter sempre em mente o que está a tentar alcançar. Com um relatório de 2021 Verizon que sublinha que o "elemento humano" está por detrás de 85% das violações de dados, o foco na criação de um bom comportamento de segurança deve ser primordial.
Mas como se pode medir exactamente um elemento aparentemente nebuloso como o comportamento?
Estabelecer uma linha de base para um Grande Programa de Sensibilização para a Segurança?
Para medir algo, é necessário um ponto de partida, uma linha de base. Um programa de sensibilização para a segurança é concebido para mudar o comportamento e a atitude dos empregados para melhorar a segurança global de uma empresa.
Um conjunto de objectivos claramente definidos é este ponto de partida essencial que pode ser utilizado para se poder desenvolver ao testar o sucesso do seu programa de sensibilização para a segurança. Estes objectivos constituirão a base das métricas do seu programa de sensibilização para a segurança, utilizando uma metodologia de 'treino e teste'.
Ao desenvolver um programa de sensibilização para a segurança, é melhor ter em mente como o sucesso de cada área do programa pode ser medido. Desta forma, é possível construir elementos testáveis no programa. As partes típicas de um programa holístico de sensibilização para a segurança devem incluir:
- Higiene de segurança: cobre vários elementos tais como escolha de senha e hábitos de navegação na web
- Engenharia social: o que é a engenharia social e os tipos de esquemas que afectam uma organização e os seus empregados
- Sensibilização para o phishing: formação de empregados em como detectar tácticas de phishing
- Hábitos de segurança informática: incluindo como detectar se um computador pode ser infectado e a utilização de medidas de reforço da segurança, tais como uma VPN para trabalho remoto
Cada um destes aspectos de um programa de sensibilização para a segurança pode ser medido, e os resultados são então utilizados para fornecer feedback para optimizar o sucesso do programa.
A medida do sucesso (ou não) de um Programa de Sensibilização para a Segurança?
Medir os resultados de um programa de sensibilização para a segurança não é um exercício de aprovação/reprovação. Em vez disso, oferece uma visão da eficácia das diferentes vertentes da Formação de Sensibilização para a Segurança.
Os resultados podem ser utilizados para o feedback nas várias partes do programa de segurança para optimizar a formação; se algo não estiver a funcionar, as métricas e o feedback darão um indicador disto, algumas métricas podem até identificar fraquezas em eventos de formação específicos. Esta informação pode então ser utilizada para uma educação de sensibilização mais próxima.
As áreas que podem ser utilizadas para capturar dados sobre as métricas da formação em segurança incluem:
Sondagens de Sensibilização e Feedback dos Empregados
Os inquéritos de sensibilização são questionários que os funcionários preenchem para dar uma visão da eficácia da formação de sensibilização. Embora este método seja manual, pode ser uma parte útil de um portfólio de exercícios de medição para estabelecer o sucesso do seu programa de sensibilização para a segurança. Os questionários são frequentemente tratados pelos RH ou por um consultor de segurança, e normalmente incluem perguntas ou questionários que testam a capacidade de um funcionário de detectar uma ameaça.
Simulações de Phishing e Métricas
As simulações de phishing são realizadas utilizando plataformas automatizadas que enviam emails de teste de phishing aos empregados. A plataforma de simulação registará se o empregado detectar com sucesso que a mensagem de teste é uma mensagem de phishing, ou não. As plataformas de simulação de phishing, e os conselhos sobre a sua utilização, juntamente com as métricas que fornecem, estão disponíveis através de terceiros especializados, tais como MetaCompliance.
Engenharia Social e Métrica
A forma como os empregados respondem a esquemas fraudulentos é um aspecto importante da consciência de segurança. Os esquemas como o Business Email Compromise (BEC) são frequentemente sofisticados e utilizam a engenharia social como base do esquema.
A reacção de um empregado a um evento de engenharia social simulado pode ser medida tanto quantitativa como qualitativamente, dependendo de como as simulações são realizadas. As empresas terceiras podem aconselhar na criação de testes de engenharia social simulados que sejam passíveis de medição.
Captura e Notificação de Incidentes
A prova está no pudim, e esse pudim assume a forma de relatórios de incidentes de segurança pelos empregados. Um sistema de notificação de incidentes de segurança que permite aos empregados introduzir facilmente eventos de segurança pode oferecer uma forma de medir a eficácia de um programa de sensibilização para a segurança.
A comunicação de incidentes tem dois benefícios, actuando como um sistema de triagem e resposta para as questões de segurança à medida que estas surgem, e o registo e auditoria da sensibilização do pessoal. Os funcionários devem receber formação para utilizar o sistema de notificação de incidentes para registar eventos de segurança, como por exemplo:
- Recepção de uma mensagem de phishing
- Exposição acidental de uma palavra-passe
- Suspeita de infecção por malware
- Exposição acidental de informação via correio electrónico
- Dispositivos perdidos ou roubados
- Tentativas de engenharia social, por exemplo, um esquema de telefone
Medir, Ouvir, Otimizar
Os programas de sensibilização para a segurança são conhecidos por serem difíceis de medir. A medição do comportamento e da compreensão é frequentemente qualitativa e não apenas quantitativa. No entanto, ao utilizar uma combinação de factores que captam indicadores de mudança de comportamento e de sensibilização, uma empresa pode assegurar que o seu programa é eficaz.
Em última análise, uma organização necessita de um programa eficaz de sensibilização em matéria de segurança para resultar em ataques cibernéticos reduzidos e melhor ciber-segurança global da empresa. Como os funcionários continuam a compreender como funcionam as ameaças à cibersegurança, a optimização da eficácia de um programa de sensibilização para a segurança resultará numa cultura de segurança que compensa com uma melhor segurança.