No atual panorama digital em rápida evolução, as organizações enfrentam uma multiplicidade de ameaças à cibersegurança. Embora seja dada muita ênfase à formação dos funcionários para reconhecerem e mitigarem estes riscos, há um grupo frequentemente negligenciado com potenciais vulnerabilidades significativas - os não funcionários. Estes indivíduos, tais como contratantes, fornecedores e parceiros, têm acesso a informações ou sistemas sensíveis, o que os torna alvos atractivos para os cibercriminosos.
Neste artigo, esclarecemos os riscos de segurança colocados por não funcionários e salientamos o papel fundamental da Formação de Sensibilização para a Segurança para fortalecer as empresas para além da sua força de trabalho.
A ameaça interna: Para além dos funcionários
O Relatório de Investigações de Violação de Dados de 2023 revelou que 19% das violações de dados foram causadas por ameaças internas. Quando ouvimos o termo "insiders", é fácil assumir que se refere apenas aos funcionários dentro da rede de uma organização. No entanto, as ameaças internas vão muito para além dos funcionários. Empreiteiros, fornecedores e parceiros também podem representar uma ameaça para a segurança de uma empresa. Um número surpreendente de 41% das ameaças internas foi perpetrado por parceiros ou contratantes, o que realça o risco substancial que estas entidades externas representam.
Compreender os riscos que os não empregados enfrentam
Os não empregados podem ter diferentes níveis de familiaridade com os protocolos de segurança de uma organização e não têm o mesmo nível de conhecimentos de cibersegurança que os empregados normais. Esta lacuna de conhecimentos torna-os susceptíveis a ataques de engenharia social, tentativas de phishing e outras ciberameaças.
Com acesso a recursos críticos da empresa, incluindo bases de dados, informações de clientes e propriedade intelectual, podem utilizar os seus próprios dispositivos ou aceder a dados através de redes públicas, criando potenciais vulnerabilidades de segurança. Um exemplo real das consequências devastadoras de uma violação deste tipo é a T-Mobile, que sofreu uma violação maciça de dados em janeiro de 2023, quando hackers obtiveram acesso através de um fornecedor terceiro, afectando mais de 40 milhões de clientes.
O papel crucial da formação de sensibilização para a segurança para não funcionários
De acordo com a cláusula 7.2.2 da ISO 27001/2, "todos os funcionários da organização e, se for caso disso, os contratantes e utilizadores terceiros devem receber formação de sensibilização adequada e actualizações regulares das políticas e procedimentos organizacionais, conforme relevante para as suas funções".
Proporcionar formação de sensibilização para a segurança a não empregados pode reduzir significativamente os incidentes de cibersegurança. Quando equipados com os conhecimentos e as competências necessárias, estes indivíduos tornam-se uma linha de defesa adicional contra os ciberataques, reduzindo a probabilidade de violações e de comprometimento de dados.
Alargar a Formação de Sensibilização para a Segurança a não funcionários melhora a postura global de segurança de uma organização ao abranger todos os indivíduos com acesso a recursos. A criação de uma cultura de segurança sólida e a promoção da responsabilidade e da sensibilização entre funcionários e não funcionários fomenta um esforço coletivo para salvaguardar os activos críticos, reforçando o panorama geral da segurança.
Avaliação dos programas de formação existentes
As organizações devem começar por determinar se os não empregados já dispõem de um programa de formação de sensibilização para a segurança. É igualmente importante avaliar a eficácia do programa existente. Esta avaliação pode ajudar a identificar eventuais lacunas ou áreas a melhorar, assegurando simultaneamente que todos os indivíduos com acesso aos recursos da empresa recebem formação adequada.
Leia mais: Formação de sensibilização para a segurança com fornecedores terceiros
Alargar a formação de sensibilização para a segurança para além da força de trabalho
Para garantir o êxito da formação de sensibilização para a segurança destinada a não empregados, as organizações devem ter em conta o seguinte
- Formação à medida: Conceber programas de formação que satisfaçam as necessidades e funções específicas dos não funcionários da organização. Aborde os riscos únicos com que se podem deparar e forneça orientações práticas para evitar e responder a potenciais ameaças.
- Conteúdo cativante: Tornar a formação interactiva e cativante para captar o interesse e a motivação dos não empregados para aprender. O recurso a técnicas de gamificação pode colmatar a lacuna de conhecimentos e aumentar a sensibilização para a cibersegurança entre este grupo vulnerável.
- Comunicação clara: Sublinhar a importância da sensibilização para a segurança e o seu impacto direto no sucesso da organização. Salientar a responsabilidade partilhada na proteção da informação.
- Formação regular: Certifique-se de que os não funcionários recebem formação regular, uma vez que as pessoas tendem a esquecer informações importantes ao longo do tempo. Um estudo realizado pela USENIX sobre a eficácia da Formação de Sensibilização para a Segurança revelou que os funcionários retiveram os conhecimentos da sua formação inicial durante cerca de quatro meses. No entanto, após seis meses, a sua capacidade de detetar e-mails de phishing diminuiu significativamente.
Conclusão
Dar prioridade à formação de sensibilização para a segurança destinada a não funcionários é essencial para que as organizações reforcem a sua postura geral de cibersegurança, atenuem as ameaças internas e protejam os dados sensíveis de potenciais violações. Alargar os esforços de formação em segurança para além dos funcionários garante que todos os indivíduos com acesso aos recursos da empresa estão bem equipados para se defenderem contra as ciberameaças. Ao promover um esforço coletivo para salvaguardar os activos críticos, as organizações podem fortalecer a sua defesa contra os cibercriminosos e proteger a sua reputação, vantagem competitiva e estabilidade financeira.