Promover uma forte cultura de sensibilização para a segurança na tua organização
Publicado em: 28 Jan 2022
Última modificação em: 23 Set 2025
A melhor forma de impedir os ataques à segurança centrados nas pessoas é criar uma cultura de sensibilização para a segurança centrada nas pessoas. Vê aqui como fazer isso mesmo.
Uma grande empresa assenta em grandes pessoas: uma organização depende de ter pessoal em quem possa confiar, que faça um bom trabalho e em quem se possa confiar. As pessoas fazem uma empresa funcionar, mas também podem fazê-la cair. Os cibercriminosos também se centram nas pessoas.
Em 85% dos ciberataques, é necessário um ser humano para realizar uma ação em benefício do atacante: pode ser um clique numa hiperligação de um e-mail, o descarregamento de um anexo infetado, a introdução de credenciais de início de sessão e de palavra-passe num site falso ou algo semelhante.
O que é exatamente uma cultura de sensibilização para a segurança centrada nas pessoas?
As estatísticas falam por si, o comportamento humano está aberto à manipulação e o resultado é ransomware, violações de dados e danos e perturbações gerais nas TI e nas empresas. Em 91% dos casos, um ataque cibernético começa com um e-mail de phishing, de acordo com um relatório da Deloitte. Os ataques cibernéticos baseados em engenharia social, dos quais o phishing é um exemplo, aumentaram 270% em 2021.
Um post da MetaCompliance “Engenharia Social: Hacking the Human” explorou os aspectos profundamente enraizados do comportamento humano de que os cibercriminosos tiram partido. É a decomposição dos maus comportamentos de segurança para os transformar em comportamentos de segurança positivos que impulsiona uma cultura de sensibilização para a segurança centrada nas pessoas: as pessoas são o foco dos cibercriminosos e, por sua vez, são a melhor forma de combater os ciberataques.
Capacitar os funcionários com conhecimentos de fraude de segurança cibernética cria uma mentalidade de segurança em primeiro lugar nas pessoas que estão na linha da frente dos ataques – o nosso pessoal. Ao utilizar a abordagem correta para fornecer e cultivar esta sensibilização para a segurança, o resultado é a formação de uma cultura de sensibilização para a segurança centrada nas pessoas.
Os componentes de uma cultura de sensibilização para a segurança centrada nas pessoas
Uma cultura é definida pelas normas e comportamentos que constituem um grupo ou uma sociedade. Por outras palavras, o termo “cultura” descreve o modo de vida e o sistema de crenças que um grupo de pessoas utiliza para criar uma sociedade sustentável.
Tipicamente, uma cultura terá tecido na sua matriz, sistemas que tornam a vida mais fácil e mais bem sucedida para os indivíduos dessa sociedade. Uma organização, da mesma forma que um grupo, uma aldeia, uma cidade ou um país, pode criar uma cultura, uma vez que também é constituída por indivíduos.
As boas práticas de segurança exigem uma mudança de comportamento dos empregados, que beneficia da integração destes comportamentos de segurança numa cultura: a melhor forma de o conseguir é garantir que a segurança se torne uma parte intrínseca da cultura geral da empresa. No entanto, a consciencialização por si só não cria esta cultura. Eis os componentes necessários para criar uma cultura de sensibilização para a segurança centrada nas pessoas:
- Estabelece a base do comportamento esperado e utiliza-a para adaptar o seu programa de sensibilização para a segurança centrado nas pessoas.
- Escolhe um programa de sensibilização para a cibersegurança que ofereça conteúdos envolventes que incorporem conteúdos personalizados e criem comportamentos de segurança positivos que possam ser partilhados.
- Mantém uma cultura de segurança através da realização de actualizações regulares da formação de sensibilização para a segurança.
- Capacita o teu pessoal com a comunicação de incidentes de segurança.
Define as expectativas
Define uma linha de base para os comportamentos de segurança esperados.
Esta base de referência é estabelecida a partir da compreensão da postura de segurança atual da sua organização e do que é necessário fazer para a melhorar. Podem ser utilizados vários métodos para recolher os dados necessários para estabelecer a base de referência exigida para um bom comportamento de segurança. Isto inclui métricas quantitativas da execução de testes iniciais utilizando programas de simulação de phishing e dados qualitativos de inquéritos e grupos de discussão.
Este exercício de recolha de informações é depois mapeado para um programa de Formação de Sensibilização para a Segurança, de modo a proporcionar uma formação centrada nas pessoas. Este mapeamento das fraquezas conhecidas do comportamento de segurança para as pessoas na força de trabalho ajuda a estabelecer um programa de formação eficaz e personalizado que pode ser utilizado para influenciar o comportamento de indivíduos, departamentos e de toda a organização.
A partir desta linha de base, com um conjunto de expectativas claras, dá à força de trabalho um caminho a seguir que ajuda a estabelecer a criação de uma cultura de segurança em primeiro lugar.
Aprende socialmente
As pessoas querem fazer parte de algo maior do que elas próprias.
As culturas são construídas sobre a espinha dorsal da interação social humana. As teorias da evolução cultural oferecem explicações sobre a forma como as culturas se desenvolvem. Uma dessas teorias diz respeito à aprendizagem social: as pessoas aprendem melhor através da observação dos seus pares e da modelação de cenários, por exemplo, histórias. A cultura nasce da transmissão de informações, conhecimentos e competências entre as pessoas.
Os contos populares são um excelente exemplo de aprendizagem social, muitas vezes concebidos para mudar comportamentos, por exemplo, não vás para a floresta sozinho, senão o lobo mau come-te; muitos contos podem ser encontrados em várias culturas mundiais ao longo de milénios. A aprendizagem da sensibilização para a segurança deve ser um empreendimento cooperativo, com os empregados a trabalharem em conjunto, aprendendo de forma social, interactiva e envolvente.
A aprendizagem da sensibilização para a segurança através de cenários do tipo aprendizagem social envolve normalmente a utilização de jogos, módulos interactivos e contributos de educadores especializados. A utilização de especialistas está associada ao conceito de “aprendizagem social com prestígio” nos seres humanos, que é conhecido por ajudar os adultos a aprender conceitos difíceis.
Mantém um comportamento de segurança positivo
Parte da criação de uma cultura bem sucedida de sensibilização para a segurança centrada nas pessoas passa por uma persistência efectiva.
A manutenção de um comportamento de segurança positivo exige uma formação contínua em sensibilização para a segurança. A formação regular em sensibilização para a segurança tem duas razões. Em primeiro lugar, as actualizações regulares da formação garantem que a evolução do cenário de ameaças se reflecte nos pacotes de formação. Isto é vital, uma vez que os cibercriminosos estão continuamente a mudar o seu comportamento e tácticas para enganar mais facilmente os empregados. Em segundo lugar, a formação regular mantém a segurança na mente dos funcionários, o que ajuda a manter a cultura de segurança da empresa.
Valoriza os contributos dos colaboradores
A segurança é da responsabilidade de todos; retira a culpa da tua cultura.
Um estudo da PwC revelou que quase três quartos dos inquiridos tinham medo de represálias se comunicassem problemas de segurança. Uma cultura de segurança só pode persistir se o medo for eliminado da equação. Não culpes um funcionário que acidentalmente abre uma mensagem de phishing e clica numa ligação maliciosa. Em vez disso, utiliza-o como um exercício de aprendizagem.
Certifica-te de que os teus empregados sabem que fazem parte da solução e não do problema. Faz da comunicação de incidentes de segurança uma parte intrínseca da tua cultura de sensibilização para a segurança centrada nas pessoas. Dá aos empregados as ferramentas para que a comunicação seja fácil e faça parte do seu dia a dia de trabalho. Mostra-lhes como a comunicação de segurança conduz a uma melhor deteção e prevenção da cibersegurança.
Cultiva uma cultura de segurança centrada nas pessoas
Uma cultura de sensibilização para a segurança centrada nas pessoas não se cria de um dia para o outro. No entanto, ao implementar as estruturas corretas, a sua organização começará rapidamente a ver o desenvolvimento de comportamentos de segurança da informação persistentes e positivos.
Estás pronto para reforçar a tua postura de segurança? Descobre as nossas publicações“Build Cyber Security Champions for Your Organisation” e“5 Key Areas to Maximise Your Cyber Security Budget“. Também podes explorar a nossa abrangente Biblioteca de Conteúdos de Cibersegurança eLearning para equipar a tua equipa com os conhecimentos de que necessita para prosperar no panorama digital atual.
Dá o primeiro passo para um futuro mais seguro – mergulha nestes recursos hoje mesmo!
