Não vale a pena fazer nada na vida, a menos que saibas que vale a pena e que o que estás a fazer vai funcionar. Este pensamento aplica-se a muitos aspectos de uma empresa, incluindo um programa de sensibilização para a segurança.

Quando uma empresa implementa um programa de sensibilização para a segurança, deve ter sempre em mente o que está a tentar alcançar. Com um relatório da Verizon de 2021 a sublinhar que o “elemento humano” está por detrás de 85% das violações de dados, deve ser primordial concentrar-se na criação de um bom comportamento de segurança.

Mas como podes medir exatamente um elemento aparentemente nebuloso como o comportamento?

Estabelece uma linha de base para um excelente programa de sensibilização para a segurança?

Para medir algo, precisas de um ponto de partida, uma linha de base. Um programa de sensibilização para a segurança é concebido para alterar o comportamento e a atitude dos empregados, de modo a melhorar a segurança global de uma empresa.

Um conjunto de objectivos claramente definidos é este ponto de partida essencial que pode ser utilizado para testar o sucesso do seu programa de sensibilização para a segurança. Estes objectivos constituirão a base das métricas do teu programa de sensibilização para a segurança, utilizando uma metodologia de “formação e teste”.

Ao desenvolver um programa de sensibilização para a segurança, é uma boa prática ter em mente como pode ser medido o sucesso de cada área do programa. Desta forma, podes criar elementos testáveis no programa. As partes típicas de um programa holístico de sensibilização para a segurança devem incluir:

  1. Higiene da segurança: abrange vários elementos, como a escolha de palavras-passe e os hábitos de navegação na Web

  2. Engenharia social: o que é a engenharia social e os tipos de burlas que afectam uma organização e os seus empregados

  3. Sensibilização para o phishing: formação dos empregados sobre como detetar tácticas de phishing

  4. Hábitos de segurança informática: como detetar se um computador pode estar infetado e utilizar medidas de reforço da segurança, como uma VPN para trabalhar à distância

Cada um destes aspectos de um programa de sensibilização para a segurança pode ser medido e os resultados são depois utilizados para fornecer feedback e otimizar o sucesso do programa.

A medida do sucesso (ou não) de um programa de sensibilização para a segurança?

Medir os resultados de um programa de sensibilização para a segurança não é um exercício de aprovação/reprovação. Em vez disso, oferece uma visão da eficácia das diferentes vertentes da formação de sensibilização para a segurança.

Os resultados podem ser utilizados para dar feedback às várias partes do programa de segurança, a fim de otimizar a formação; se algo não estiver a funcionar, as métricas e o feedback darão um indicador disso, algumas métricas podem mesmo identificar pontos fracos em eventos de formação específicos. Esta informação pode então ser utilizada para adaptar melhor a formação de sensibilização.

Os domínios que podem ser utilizados para recolher dados sobre as métricas da formação em matéria de segurança incluem

Inquéritos de sensibilização e feedback dos empregados

Os inquéritos de sensibilização são questionários que os empregados preenchem para dar uma ideia da eficácia da formação de sensibilização. Embora este método seja manual, pode ser uma parte útil de um portfólio de exercícios de medição para estabelecer o sucesso do seu programa de sensibilização para a segurança. Os questionários são frequentemente realizados pelos RH ou por um consultor de segurança e incluem normalmente perguntas ou questionários que testam a capacidade de um funcionário para detetar uma ameaça.

Simulações e métricas de phishing

As simulações de phishing são realizadas através de plataformas automatizadas que enviam e-mails de teste de phishing aos empregados. A plataforma de simulação regista se o funcionário detecta com êxito que a mensagem de teste é uma mensagem de phishing ou não. As plataformas de simulação de phishing e os conselhos sobre a sua utilização, juntamente com as métricas que fornecem, estão disponíveis através de terceiros especializados, como a MetaCompliance.

Engenharia social e métricas

A forma como os empregados reagem às burlas é um aspeto importante da sensibilização para a segurança. As burlas como o Business Email Compromise (BEC) são muitas vezes sofisticadas e utilizam a engenharia social como base da burla.

A reação de um empregado a um evento simulado de engenharia social pode ser medida quantitativa e qualitativamente, dependendo da forma como as simulações são realizadas. As empresas terceiras podem aconselhar-te na criação de testes simulados de engenharia social que sejam passíveis de medição.

Registo e comunicação de incidentes

A prova está no pudim, e esse pudim assume a forma de relatórios de incidentes de segurança por parte dos funcionários. Um sistema de comunicação de incidentes de segurança que permita aos empregados introduzir facilmente eventos de segurança pode oferecer uma forma de medir a eficácia de um programa de sensibilização para a segurança.

A comunicação de incidentes tem duas vantagens: actua como um sistema de triagem e resposta a problemas de segurança à medida que estes surgem e regista e audita a sensibilização do pessoal. Os funcionários devem receber formação para utilizar o sistema de comunicação de incidentes para registar eventos de segurança, tais como

  • Recebe uma mensagem de phishing

  • Exposição acidental de uma palavra-passe

  • Suspeita de infeção por malware

  • Exposição acidental de informações através de uma entrega incorrecta de correio eletrónico

  • Dispositivos perdidos ou roubados

  • Tentativas de engenharia social, por exemplo, uma burla telefónica

Medir, ouvir, otimizar

Os programas de sensibilização para a segurança são conhecidos por serem difíceis de medir. A medição do comportamento e da compreensão é muitas vezes qualitativa e não apenas quantitativa. No entanto, ao utilizar uma combinação de factores que captam indicadores de mudança comportamental e de sensibilização, uma empresa pode garantir que o seu programa é eficaz.

Em última análise, uma organização precisa de um programa de sensibilização para a segurança eficaz para reduzir os ciberataques e melhorar a cibersegurança geral da empresa. À medida que os funcionários continuam a compreender como funcionam as ameaças à cibersegurança, a otimização da eficácia de um programa de sensibilização para a segurança resultará numa cultura de segurança que compensa com uma melhor segurança.