Os ciberataques são tão comuns que chegam regularmente aos noticiários nacionais. Há muitas razões que explicam o aumento das burlas e do cibercrime. No entanto, a manipulação e a engenharia social dos nossos funcionários e do software que utilizam é um ponto de partida típico para estes ataques.

As organizações de todo o mundo trabalham na construção de uma cultura de segurança para contrariar o fator humano nos ciberataques. Mas se a tua organização ainda precisa de criar esta mentalidade de segurança em primeiro lugar, e as ameaças e vulnerabilidades colocam cada vez mais a tua empresa em risco, deves perguntar-te: uma boa formação em cibersegurança pode mudar uma má cultura de cibersegurança?

Sinais de uma má cultura de cibersegurança e formas de a corrigir

Uma má cultura de cibersegurança tem sinais de aviso a que deves estar atento. Abaixo estão alguns dos mais óbvios, juntamente com algumas acções que podem mudar uma má cultura de segurança cibernética utilizando algumas boas técnicas de formação em segurança cibernética:

Só conversa e nada de ação

Uma cultura de segurança permeia de cima para baixo e de baixo para cima. Todos devem ser encorajados a fazer parte de um todo maior, trabalhando para um objetivo comum em que a segurança é levada a sério. Todos, desde a direção até ao pessoal temporário, devem compreender o que significa colocar a segurança em primeiro lugar e exatamente como o fazer.

Nada mudará se a tua organização falar sobre segurança mas não fornecer formas práticas de lidar com as ameaças. Ao explicar como estar seguro, o pessoal será capaz de reagir corretamente em caso de tentativas de ciberataques, como e-mails de phishing ou eventos de engenharia social.

Como transformar o discurso em ação: para transformar o discurso em ação, a liderança deve seguir com formas práticas de apoiar os esforços de segurança. Para tal, é necessária uma formação positiva e contínua em matéria de segurança em toda a organização, fornecendo ao pessoal as ferramentas necessárias para ajudar no esforço de segurança da empresa.

Uma cultura de culpa, não de segurança

O jogo da culpa é uma cultura tóxica e prejudicial que pode surgir rapidamente quando ocorrem ciberataques, especialmente se estes continuarem a acontecer. Apontar o dedo e culpar os funcionários por contratempos, como abrir um e-mail potencialmente malicioso, é fácil. No entanto, quanto mais o dedo é apontado, mais a atmosfera geral em torno do comportamento de segurança se agrava.

Além disso, este comportamento de culpabilização é tão prejudicial como clicar numa ligação de phishing, uma vez que cria um ambiente de desconfiança e perpetua um mau comportamento em matéria de segurança.

Acaba com o jogo das culpas através de uma comunicação aberta: o bode expiatório e a culpa são os antípodas de uma boa cultura de cibersegurança. Em vez disso, trabalha na criação de confiança, de modo a que, se um funcionário cometer um erro, se sinta à vontade para o revelar. Uma boa cultura de segurança requer uma boa comunicação. Se um funcionário informar o departamento de TI sobre um erro de segurança, como a divulgação acidental de dados sensíveis, a equipa pode agir mais rapidamente para reduzir a exposição dos dados.

Ignorar o que as métricas te estão a dizer

Quando uma cultura de segurança não funciona bem, o problema aparece nas métricas de vulnerabilidade da organização: o fator humano na cibersegurança é bem reconhecido, com estatísticas chocantes como 82% de todos os ataques cibernéticos envolvem um elemento humano. O erro humano acontece quando as pessoas não têm consciência de que as suas acções podem levar à fuga de dados ou colocar uma empresa em risco. Por isso, se notares um aumento nas violações potenciais ou reais, isso pode ser atribuído a funcionários e outros não funcionários.

As métricas são tuas amigas: utiliza as métricas fornecidas pelos programas de formação de sensibilização para a segurança e pelos programas de simulação de phishing para identificar pontos de preocupação. As métricas permitem-te adaptar a formação para que seja mais eficaz. Além disso, a formação pode ser ajustada com base nas funções para concentrar a atenção em áreas vulneráveis específicas.

Entra por um ouvido e sai pelo outro

Uma cultura de segurança ineficaz pode levar a uma aprendizagem ineficaz sobre segurança. O material de formação aborrecido e repetitivo do tipo sala de aula pode desmotivar os empregados e prejudicar as suas hipóteses de criar uma cultura de segurança sólida.

A aprendizagem ativa acontece quando as pessoas estão empenhadas e conseguem relacionar-se com o material a um nível emocional. Por exemplo, se não forneceres conteúdos de sensibilização para a segurança experimentados e fiáveis. Nesse caso, podes dar-te conta de que a informação entra por um ouvido e sai pelo outro, com os empregados a esquecerem experiências de aprendizagem vitais e os maus comportamentos de segurança a permanecerem inalterados.

O material estimulante faz maravilhas: fornece material didático estimulante que agrade aos teus empregados. Utiliza formação pontual para que os empregados aprendam à medida que se formam e ajudem a mudar o comportamento de mau para bom. O material cativante fica com os empregados e constrói a mentalidade de segurança em primeiro lugar necessária para cimentar uma cultura de segurança.

A formação está desconectada

As culturas de todos os tipos são construídas com base na confiança e na comunicação. Uma má cultura de segurança pode surgir se os empregados não discutirem as suas preocupações ou problemas com os gestores de linha. O problema surge quando essas mesmas chefias se sentem desligadas da cultura de segurança. Isto pode acontecer quando os programas de formação não abrangem a gestão ou quando o material de formação não é adaptado a departamentos e funções específicos.

Liga as funções e os departamentos:

  1. Cria relações e elimina fronteiras ao desenvolver programas de formação em segurança, concebendo campanhas em torno de funções específicas.

  2. Inclui todos os empregados na formação, todos os elementos de uma organização desempenham o seu papel na empresa e todos devem fazer parte da cultura de segurança.

  3. Utiliza material de formação que desenvolva ligações entre a administração e os empregados através de eventos de formação colaborativos, como jogos do tipo escape room.

A falta de envolvimento

As culturas florescem quando envolvem toda a gente. As pessoas são sociais e o comportamento pró-social faz parte da construção de comunidades sólidas e cooperativas. Se não incluíres toda a gente na tua Formação de Sensibilização para a Segurança, formar-se-ão facções que terão um comportamento de segurança inferior ao das pessoas que passaram pela formação. A falta de envolvimento de alguns terá impacto no desenvolvimento de uma cultura e comunidade de segurança coesa.

Ouve e aprende: ouvir o teu pessoal pode ajudar a desenvolver um sentido de comunidade e confiança. Tem uma política de portas abertas para estabelecer contactos, o que conduz a melhores respostas de segurança. Ouve e aprende: envolve os empregados na formação de sensibilização para a segurança, utilizando iniciativas como a semana anual de sensibilização para a cibersegurança. Uma boa capacidade de escuta é uma excelente estratégia de envolvimento. Também ajuda a desenvolver um espírito de comunidade vital para o desenvolvimento de uma cultura de segurança sólida e eficaz.

Há um provérbio que, sem dúvida, já ouviste dizer: “unidos permanecemos, divididos caímos”. Este provérbio resume a importância de trabalhar em conjunto para um objetivo comum; ao fazê-lo, o “todo torna-se maior do que a soma das partes”. A formação de sensibilização para a segurança deve envolver toda a comunidade organizacional e construir pontes com base em experiências e preocupações partilhadas. Ao fornecer um programa de Formação de Sensibilização para a Segurança agradável, envolvente e informativo, a tua empresa pode criar essa cultura de segurança esquiva mas vital.

Formação de sensibilização para a segurança para fornecedores terceiros