A elaboração de planos e orçamentos de segurança cibernética para 2023 está em pleno andamento para muitos de nós. Dentro dos nossos planos estará o desenvolvimento ou a continuação de um programa de sensibilização para a segurança bem sucedido. Com resgates como o Conti e Lockbit activos no Reino Unido em 2022, e a guerra na Ucrânia a aumentar os níveis de esquemas, as empresas precisam mais do que nunca de assegurar que a sua Formação de Sensibilização para a Segurança seja bem sucedida.
Agora é o momento de definir estratégias sobre como assegurar que a sua Formação de Sensibilização para a Segurança funcione. Para ajudar, a MetaCompliance discute cinco elementos que farão da sua Formação de Sensibilização para a Segurança um sucesso.
Cinco Elementos de uma Formação de Sensibilização para a Segurança bem sucedida
Aqui estão cinco elementos-chave a incluir no planeamento de um programa de Formação de Sensibilização para a Segurança para 2023:
Kick-Start e Continuar a Formação com Automação
A continuidade e a programação são elementos vitais de um programa de formação de segurança bem sucedido. As pessoas respondem bem à coerência, e é mais provável que a formação regular e envolvente se transforme em acções e memórias positivas. A coerência na formação também ajuda a construir relações positivas e de confiança.
Uma excelente forma de simplificar a formação regular é utilizar uma plataforma de automatização de Formação de Sensibilização para a Segurança. A plataforma permitir-lhe-á gerir e programar o seu programa anual de sensibilização para a segurança, assegurar formação contínua, e cumprir a conformidade regulamentar. Por outras palavras, a automatização da Formação de Sensibilização para a Segurança é um óptimo local para iniciar o seu programa e tornar a entrega mais eficiente e consistente.
Formação à medida do seu negócio e da sua gente
Os programas de formação personalizados são mais eficazes, uma vez que são relatáveis. No entanto, a personalização é também utilizada por cibercriminosos para visar papéis específicos e indivíduos numa organização. Por exemplo, os administradores de TI são um alvo ideal para campanhas de spear phishing utilizadas para roubar credenciais de login.
Para que o seu programa de Formação de Sensibilização para a Segurança 2023 seja bem sucedido, assegure-se de que o programa é adaptado às funções organizacionais. A formação de segurança cibernética baseada em papéis tem muitos benefícios, incluindo formação altamente adaptada que se concentra em tipos específicos de esquemas, tais como o Business Email Compromise (BEC).
Phish, Os Seus Empregados
Um relatório de 2022 identificou o Reino Unido como um alvo significativo para o phishing: o estudo concluiu que 91% das empresas foram alvo de uma campanha de phishing e 84% tiveram pelo menos um ataque de resgate por correio electrónico. Por conseguinte, a Formação de Sensibilização para a Segurança baseada em papéis deve incluir formação que vise os empregados, utilizando campanhas de phishing simuladas cuidadosamente elaboradas.
As campanhas ensinam aos empregados as tácticas para os enganar a clicar num link malicioso ou a descarregar um anexo infectado. Por conseguinte, ensinar aos funcionários sobre phishing é vital para um programa de Formação de Sensibilização para a Segurança bem sucedido.
Fazer o Conteúdo de Sensibilização para a Segurança Funcionar
Os últimos três elementos só farão com que um programa de sensibilização para a Segurança tenha sucesso se o conteúdo for excitante e divertido e utilizar o feedback de uma forma construtiva. As pessoas aprendem quando envolvidas, e o material é compreensível e relatável; planeiam utilizar a "aprendizagem no ponto de necessidade" no seu programa de formação.
Um programa de sensibilização para a segurança deve utilizar uma plataforma de formação que possa aplicar a aprendizagem point-of-need para melhorar a compreensão e promover a aprendizagem. A aprendizagem point-of-need é um tipo de educação interactiva utilizada para garantir que os empregados aprendam com os seus erros; um exemplo é um aviso que aparece no ecrã se um empregado clicar numa ligação maliciosa.
Esta educação interactiva é ideal para explicar os perigos de maus comportamentos de segurança. A aprendizagem no ponto de necessidade também pode ser utilizada para ensinar um utilizador a evitar a realização de uma actividade perigosa no futuro.
Utilize os Resultados para Optimizar o seu Sucesso
Um dos factores essenciais para fazer de algo um sucesso é saber onde e quando fazer melhorias. É aqui que entram em jogo as métricas de formação de segurança. Um programa de Formação de Sensibilização para a Segurança deve ser capaz de recolher e analisar dados de sessões de formação.
Estes dados podem então ser utilizados para gerar percepções accionáveis que ajudam a adaptar os eventos de ensino. Por exemplo, um programa de formação avançado deve tirar partido de painéis de informação que podem exibir uma análise de uma só vez das sessões simuladas de phishing; esta análise pode ajudar a identificar os funcionários que lutam com os conceitos e ajudar a adaptar uma campanha de formação que torne a formação mais eficaz.
Os tipos de métricas que ajudam a construir uma formação de segurança mais eficaz e, portanto, mais bem sucedida incluem:
- A percentagem de utilizadores que são vulneráveis a ataques
- Os dispositivos utilizados para aceder ao e-mail de phishing
- Que departamentos e grupos de utilizadores estão a clicar nos links
Estas métricas podem então ser analisadas, e os conhecimentos utilizados para ajustar os programas de sensibilização para assegurar que a formação melhora e o seu programa é optimizado.
Do Sucesso do Programa de Sensibilização de Segurança ao Falha em Ataques Cibernéticos
Um velho provérbio diz: "um objectivo sem um plano é apenas um desejo". Da mesma forma, fazer com que o seu programa de sensibilização para a segurança seja bem sucedido necessita de um planeamento eficaz. Comece como pretende continuar, criando um programa envolvente, relatável, e contínuo de eventos de formação de segurança. Desta forma, o seu sucesso na sensibilização para a segurança resultará no fracasso de um ataque cibernético.
