A melhor maneira de impedir ataques de segurança centrados nas pessoas é criar uma cultura de consciência de segurança centrada nas pessoas. Aqui está como fazer exactamente isso.
Um grande negócio é construído sobre grandes pessoas: uma organização depende de ter pessoal em que possa confiar, que faça um bom trabalho e em quem se possa confiar. As pessoas fazem um negócio funcionar, mas também o podem fazer cair. Os cibercriminosos também são centrados nas pessoas.
Em 85% dos ataques cibernéticos, é necessário um ser humano para executar alguma acção em benefício do atacante: isto pode ser um clique de um link num e-mail; o download de um anexo infectado; a introdução de credenciais de login e palavra-passe num website falsificado; ou algo semelhante.
O que é exactamente uma Cultura de Sensibilização para a Segurança Centrada nas Pessoas?
As estatísticas falam por si, o comportamento humano está aberto à manipulação e o resultado é um resgate, violações de dados, e danos e perturbações gerais das TI e das empresas. Em 91% dos casos, um ataque cibernético começa com um e-mail de phishing, de acordo com um relatório da Deloitte. Os ciberataques baseados na engenharia social, dos quais o phishing é um exemplo, aumentaram 270% em 2021.
Um posto MetaCompliance "Engenharia Social":Hacking the Human" explorou os aspectos profundamente enraizados do comportamento humano de que os cibercriminosos se aproveitam. É a quebra dos maus comportamentos de segurança para os transformar em comportamentos de segurança positivos que impulsionam uma cultura de consciência de segurança centrada nas pessoas: as pessoas são o foco dos cibercriminosos, e por sua vez, são a melhor forma de combater os ciberataques.
Capacitar os funcionários com know-how em esquemas de segurança cibernética constrói uma mentalidade de segurança - o nosso pessoal - na linha da frente dos ataques. Ao utilizar a abordagem certa na entrega e cultivo desta consciência de segurança, o resultado é a formação de uma cultura de consciência de segurança centrada nas pessoas.
Os Componentes de uma Cultura de Sensibilização para a Segurança Centrada nas Pessoas
Uma cultura é definida pelas normas e comportamentos que compõem um grupo ou uma sociedade. Por outras palavras, o termo "cultura" descreve o modo de vida e o sistema de crenças que um grupo de pessoas utiliza para criar uma sociedade sustentável.
Tipicamente, uma cultura terá tecido na sua matriz, sistemas que tornam a vida mais fácil e mais bem sucedida para os indivíduos dentro dessa sociedade. Uma organização, da mesma forma que um grupo, aldeia, cidade, ou país, pode criar uma cultura, uma vez que também ela é constituída por indivíduos.
As boas práticas de segurança exigem uma mudança de comportamento nos empregados que beneficiam da introdução destes comportamentos de segurança numa cultura: a melhor forma de o conseguir é assegurar que a segurança se torne uma parte intrínseca da cultura empresarial global. No entanto, a consciência por si só não cria esta cultura. Aqui estão as componentes necessárias para criar uma cultura de sensibilização para a segurança centrada nas pessoas:
Expectativas definidas
Estabelecer uma linha de base dos comportamentos de segurança esperados.
Esta linha de base é estabelecida a partir da compreensão da actual postura de segurança da sua organização e do que precisa de ser feito para a melhorar. Vários métodos podem ser utilizados para recolher os dados necessários para estabelecer a linha de base necessária para um bom comportamento em matéria de segurança. Isto inclui métricas quantitativas da execução de testes iniciais utilizando programas de simulação de phishing e contributos qualitativos de inquéritos e grupos de discussão.
Este exercício de recolha de informações é então mapeado para um programa de Formação de Sensibilização para a Segurança, a fim de proporcionar uma educação centrada nas pessoas. Este mapeamento dos pontos fracos conhecidos do comportamento de segurança para as pessoas na força de trabalho, ajuda a estabelecer um programa de educação eficaz e adaptado que pode ser utilizado para influenciar o comportamento entre indivíduos, departamentos, e toda a organização.
Entregue a partir desta linha de base, com um conjunto de expectativas claras, dá à mão-de-obra um caminho a seguir que ajuda a estabelecer a criação de uma cultura "security-first".
- Estabeleça a sua base de comportamento esperado e use-a para adaptar o seu programa de sensibilização para a segurança centrado na pessoa.
Aprender socialmente
As pessoas querem fazer parte de algo maior do que elas próprias.
As culturas são construídas sobre a espinha dorsal da interacção social humana. As teorias da evolução cultural oferecem explicações sobre como as culturas se desenvolvem. Uma destas teorias diz respeito à aprendizagem social: as pessoas aprendem melhor através da observação dos seus pares e da modelação de cenários, por exemplo, histórias. A cultura nasce de pessoas que passam informação, conhecimentos e competências entre si.
Os contos populares são um grande exemplo de aprendizagem social muitas vezes concebida para mudar o comportamento, por exemplo, não entre na floresta sozinho, caso contrário, o grande lobo mau comê-lo-á; muitos contos podem ser rastreados através de múltiplas culturas mundiais ao longo de milénios. A aprendizagem da consciência de segurança deve ser um empreendimento cooperativo com empregados que trabalham em conjunto, aprendendo socialmente, interactivamente, e de forma cativante.
A sensibilização para a segurança da aprendizagem utilizando cenários de tipo de aprendizagem social, envolve normalmente a utilização de jogos, módulos interactivos, e o contributo de educadores especializados. O uso de peritos está associado ao conceito de "aprendizagem social de prestígio" nos seres humanos, que é conhecido por ajudar os adultos a aprender conceitos difíceis.
- Escolher um programa de sensibilização para a segurança cibernética que ofereça conteúdos envolventes que incorporem conteúdos personalizados e criem comportamentos de segurança positivos que possam ser partilhados.
Manter um Comportamento de Segurança Positivo
Parte da criação de uma cultura de sensibilização para a segurança centrada nas pessoas é através de uma persistência eficaz.
A manutenção de um comportamento de segurança positivo requer uma formação contínua de sensibilização para a segurança. Há uma dupla razão para uma formação regular de sensibilização em matéria de segurança. Em primeiro lugar, actualizações regulares da formação asseguram que o panorama de ameaças em mudança se reflicta nos pacotes de formação. Isto é vital, pois os cibercriminosos estão continuamente a mudar o seu comportamento e tácticas para enganar mais facilmente os empregados. Em segundo lugar, a formação regular mantém a segurança na vanguarda da mente dos empregados e isto ajuda a manter a cultura de segurança da empresa.
- Manter uma cultura de segurança através da realização de actualizações regulares de Formação de Sensibilização de Segurança.
Entrada de Valor dos Empregados
A segurança é da responsabilidade de todos; retire a culpa da sua cultura.
Um estudo da PwC descobriu que quase três quartos dos inquiridos receavam represálias se relatassem problemas de segurança. Uma cultura de segurança só pode persistir se o medo for removido da equação. Não culpe um funcionário que acidentalmente abre uma mensagem de phishing e clica numa ligação maliciosa. Em vez disso, utilize-a como um exercício de aprendizagem.
Certifique-se de que os seus empregados sabem que são parte da solução, não parte do problema. Faça da comunicação de incidentes de segurança uma parte intrínseca da sua cultura mais vasta de sensibilização para a segurança centrada nas pessoas. Dê aos funcionários as ferramentas para facilitar a comunicação e fazer parte da sua vida profissional diária. Mostre-lhes como a comunicação de incidentes de segurança conduz a uma melhor detecção e prevenção da segurança cibernética.
- Dê poder ao seu pessoal para comunicar incidentes de segurança.
Uma cultura de consciência de segurança centrada nas pessoas não é criada de um dia para o outro. No entanto, ao criar as estruturas certas, a sua organização começará rapidamente a ver o desenvolvimento de comportamentos de segurança da informação persistentes e positivos.
