É crucial dar formação de sensibilização para a segurança à sua equipa financeira para a ajudar a compreender os riscos associados aos dados e transacções financeiras e evitar potenciais violações da segurança.

Em dezembro de 2021, umhacker fingindo ser o CEOde uma empresa francesa de metalurgia fez uma chamada telefónica para o contabilista da empresa e conseguiu enganá-lo para que enviasse uma “transferência urgente e confidencial” de 300.000 euros (264.000 libras) para a conta bancária de um fraudador. O grupo por detrás deste esquema de Business Email Compromise (BEC) roubou cerca de 40 milhões de dólares (33 milhões de libras) antes de ser apanhado pela Europol. Estes tipos de fraudes são uma preocupação crescente para o departamento financeiro de uma organização e representam um enorme risco para a segurança da informação.

A equipa financeira de uma organização sempre atraiu os cibercriminosos porque detém os cordões à bolsa da empresa e os cibercriminosos seguem o dinheiro. Assim, qualquer pessoa da equipa financeira deve tornar-se um alvo potencial para os burlões e fraudadores. Os ataques de ransomware, as fraudes BEC/CEO e as ciberameaças que recolhem credenciais de início de sessão fazem parte dos riscos acrescidos associados a um departamento financeiro e aos membros da sua equipa.

A formação em sensibilização para a segurança para as equipas financeiras é essencial para combater as fraudes centradas no ser humano, como a fraude BEC. Aqui estão as melhores práticas da MetaCompliance para garantir que a tua equipa financeira está ciente dos riscos das suas funções.

Cinco práticas recomendadas para ministrar formação de sensibilização para a segurança à sua equipa financeira

A equipa financeira é como um alvo fácil, a menos que a sua sensibilização para a segurança se concentre nos riscos específicos que enfrentam. Aqui estão as nossas cinco melhores práticas para garantir que a tua formação em segurança é eficaz:

Concentra-te nas ameaças de alto risco para o departamento financeiro

A equipa financeira está em risco de vulnerabilidades específicas, uma vez que pode transferir dinheiro ou ter credenciais de início de sessão privilegiadas com acesso a informações financeiras. Este nível de poder detido pela equipa financeira de uma organização significa que é mais provável que ameaças específicas visem este departamento. Por conseguinte, o programa de formação de sensibilização para a segurança é mais eficaz quando é adaptado a funções específicas numa organização, e um membro da equipa financeira é uma dessas funções.

A formação de sensibilização para a segurança baseada em funções aborda tipos específicos de ameaças feitas contra determinadas funções dos funcionários. Cria um programa de formação de sensibilização para a segurança com base em funções que se baseie na sensibilização para a segurança fundamental, centrando-se nos tipos de riscos e ameaças que um membro da equipa ou departamento financeiro é suscetível de enfrentar; estes incluem o seguinte:

  • Business Email Compromise (BEC): informa os empregados sobre a forma como este sofisticado ataque informático em várias fases é levado a cabo. Certifica-te de que compreendem como os ciberataques utilizam a engenharia social para os levar a acreditar que são um executivo de nível C ou um fornecedor importante.

  • Fraude de faturação: normalmente envolve o comprometimento de um fornecedor da empresa, mas é também um subconjunto da fraude BEC. Os burlões fingem então ser do fornecedor, solicitando o pagamento de uma fatura.

  • Fraude do Diretor Executivo (CEO): outra variante do esquema BEC, os autores da fraude fazem-se passar por um executivo de nível C para enganar a equipa financeira e fazê-la pagar uma fatura falsa. Muitas vezes, os burlões pirateiam ou falsificam uma conta de correio eletrónico de um executivo de nível C.

  • Fraude de desvio de salários: os autores da fraude fazem-se passar por um empregado e pedem ao departamento de salários que altere os dados da sua conta para que o seu salário seja pago aos autores da fraude.

Cria simulações de phishing que reflictam os riscos para as equipas financeiras

OICOdo Reino Unidomultou recentemente a Interserve Group Limited em4,4 milhões de libras por não ter utilizado medidas de segurança adequadas para evitar um ataque informático; o ataque começou com um e-mail de phishing enviado a um funcionário do departamento de contabilidade. Uma série de eventos, como o descarregamento do anexo malicioso do e-mail e o não cumprimento dos protocolos de segurança da empresa, resultou na perda de dados pessoais sensíveis de 113.000 funcionários. Mesmo com gateways anti-phishing, as mensagens de phishing escapam à medida que os cibercriminosos inovam para evitar a deteção.

Os exercícios de simulação de phishing adaptados ao tipo de riscos da equipa financeira são uma prática recomendada obrigatória numa formação eficaz de sensibilização para a segurança. Algumas plataformas avançadas de simulação de phishing fornecem uma variedade de modelos de phishing que pode utilizar para adaptar os seus exercícios de formação de phishing às necessidades da sua equipa do departamento financeiro.

Cria cenários de role-play

As equipas financeiras correm o risco de serem vítimas de Business Email Compromise e de outros tipos de fraude multifacetada que utilizam a engenharia social. Para garantir que a Formação de sensibilização para a segurança é eficaz, cria cenários em que as fases típicas de uma fraude financeira são representadas com a equipa financeira, para que esta possa começar a reconhecer os truques utilizados pelos burlões. Os cenários baseados em funções devem ser utilizados juntamente com a formação tradicional de sensibilização para a segurança e exercícios simulados de phishing para realçar as manipulações complexas que os burlões utilizam.

Não te esqueças da higiene da segurança

O departamento financeiro não se limita a cuidar do dinheiro; também possui dados financeiros e pessoais sensíveis. ORelatório de Investigação de Violação de Dados(DBIR)da Verizon 2022concluiu que uma variedade de problemas de erro humano causou ataques cibernéticos e levou à exposição de dados.

Segundo o relatório, 82% das violações de dados foram causadas por erro humano. Os erros incluem a entrega incorrecta de mensagens de correio eletrónico, por exemplo, o envio de dados numa mensagem de correio eletrónico para a pessoa errada. Por isso, quando deres formação às equipas financeiras sobre o seu papel na segurança, lembra-te dos pormenores, como garantir que as listas de destinatários de correio eletrónico são verificadas antes de enviar informações importantes.

Alarga a sensibilização para a segurança aos trabalhadores remotos da equipa financeira

OOffice for National Statistics(ONS) do Reino Unido concluiu que 38% dos empregados afirmaram ter trabalhado a partir de casa em algum momento nos sete dias anteriores. É provável que os funcionários do departamento financeiro queiramtrabalhar a partir de casa, uma vez que os estudos mostram que este fator é essencial para a retenção dos funcionários. O surgimento da semana de quatro dias também é suscetível de ver o trabalho remoto e híbrido continuar a ser uma parte popular da atração de talentos.

Ao criar uma campanha de formação de sensibilização para a segurança dirigida aos membros da equipa financeira, certifica-te de que dás formação aos empregados sobre os riscos de segurança do trabalho remoto. Inclui elementos como o papel do funcionário na manutenção da conformidade regulamentar e questões de higiene de segurança, como a utilização de gateways e VPNs seguras.

Utilizando estas práticas recomendadas de sensibilização para a segurança e concentrando-se nos desafios específicos do trabalho numa equipa financeira, a sua empresa pode reduzir os riscos de crimes insidiosos e dispendiosos, como a fraude BEC.

Conscientização sobre segurança cibernética para leigos