O problema do mês de sensibilização para a cibersegurança

O Mês de Sensibilização para a Cibersegurança, na Europa e nos EUA, faz parte de um vasto esforço para ajudar as pessoas a manterem-se seguras e protegidas em linha. A iniciativa foi lançada em 2004 nos EUA e em 2012 na Europa. Este ano, o evento nos EUA centrou-se no tema “Vê-te a ti próprio no ciberespaço“. Na Europa, o esforço promoveu a sensibilização para o phishing e o ransomware.

Apoiamos obviamente todos os esforços de sensibilização para a cibersegurança. As pessoas são o elo mais fraco nos esforços de segurança de uma organização. É importante ensinar-lhes passos simples que podem dar para se protegerem em linha. Continua a ser muito mais fácil para um adversário enganar alguém para que revele uma palavra-passe ou clique numa ligação de correio eletrónico do que penetrar numa rede bem protegida. Uma boa sensibilização para a cibersegurança pode proteger as organizações de perdas financeiras, sanções de conformidade e danos à reputação.

No entanto, após anos de eventos em torno de um “Mês de Sensibilização” anual, a exploração de uma fraca sensibilização para a cibersegurança continua a ser o principal vetor de ataque nas violações de dados.

O Relatório de Investigação de Violação de Dados da Verizon de 2022 concluiu que 82% das violações no ano anterior envolveram engenharia social e as taxas de cliques de phishing continuam a aumentar. Assim que os atacantes ganham uma posição, podem estabelecer canais de comando e controlo, mover-se lateralmente para identificar dados alvo, encriptar dados para pedidos de ransomware ou roubar informações sensíveis.

Mês de sensibilização para a cibersegurança?

Por isso, sim, apoiamos o Mês de Sensibilização para a Cibersegurança. Chama a atenção necessária para um problema que temos trabalhado para resolver há anos. Pode levar algumas organizações a dar os primeiros passos para melhorar a sensibilização para a segurança dos seus trabalhadores ou a reforçar os programas existentes.   Não queremos que a sensibilização para a cibersegurança seja tratada como um evento anual.

A aprendizagem não é um acontecimento único. Não se aprende a falar uma nova língua ou a tocar um instrumento musical concentrando-nos nessa tarefa uma vez por ano. O mesmo se aplica ao reconhecimento e à prevenção das ameaças à cibersegurança. Aprender a fazer qualquer uma destas coisas requer tempo e repetição.

Quando as sessões de formação são eventos realizados uma ou duas vezes por ano para cumprir os requisitos de conformidade, os alunos não retêm os conhecimentos. A famosa curva de esquecimento de Ebbinghaus mostra que os alunos esquecem mais de 75% de uma aula apenas na primeira semana. No final de um mês, os alunos retêm apenas 21% da aula.

Sensibilizar os empregados

Ensinar é um processo, não um acontecimento. Isto inclui o ensino da sensibilização para a cibersegurança. Os estudos mostram que a inclinação descendente da curva do esquecimento pode ser reduzida com o reforço regular das lições. Estes reforços não precisam de incluir toda a informação da lição. O objetivo é manter o aluno a pensar sobre o material e a utilizá-lo na prática.

Criar uma cultura de consciencialização cibernética

O “mês” da sensibilização para a cibersegurança pode parecer um artifício. Um programa eficaz de sensibilização para a cibersegurança deve ser praticado 12 meses por ano, utilizando uma variedade de ferramentas e técnicas.

As lições de eLearning fazem certamente parte de qualquer programa de sucesso, mas as equipas devem reforçar as lições regularmente através de lembretes, simulações de phishing, micro-lições, protectores de ecrã e cartazes. As aulas devem ser orientadas para as diferentes ameaças que uma organização enfrenta.

A formação das equipas financeiras deve ser adaptada às ameaças específicas do departamento. As organizações de TI devem estar atentas ao roubo de credenciais privilegiadas. Todos precisam de formação contínua para ataques de phishing e ransomware.

Um programa de sensibilização para a cibersegurança é uma parte importante de uma avaliação global dos riscos. Os responsáveis pelos programas de sensibilização devem ser capazes de acompanhar o progresso através de relatórios e iniciar acções corretivas sempre que o risco se mantenha na organização. Se os indivíduos ou as equipas não obtiverem uma boa classificação na formação, deve ser automaticamente programada uma formação de correção.

Mais importante ainda, as organizações que estão empenhadas na sensibilização para a cibersegurança e na segurança em linha reconhecem a necessidade de apoio executivo. A transmissão regular de mensagens diretamente da liderança sénior sobre a necessidade de higiene da cibersegurança – e a razão pela qual é uma prioridade para a empresa – ajuda a criar uma cultura de segurança duradoura.