Um inquérito recente do Governo do Reino Unido, intitulado "Cyber resilience captains of industry survey 2021" (Inquérito sobre a ciber-resiliência dos capitães da indústria em 2021), apresenta algumas informações interessantes sobre a sensibilização para os riscos de cibersegurança ao nível da direção e do conselho de administração de uma organização.
O inquérito descobriu que quase todos os inquiridos vêem o conselho de administração incorporar considerações de risco cibernético em assuntos mais amplos da empresa. No entanto, o relatório cita este facto com o seguinte aviso:
"Os capitães ainda acham que há mais que pode ser feito para equipar os membros do Conselho para lidarem com as ameaças cibernéticas.Os capitães mencionam mais frequentemente a sensibilização dos membros do Conselho de Administração e a formação específica".
A C-Suite e o conselho são grupos específicos que requerem formação à medida para satisfazer as suas necessidades únicas. Aqui estão algumas ideias para criar um programa de sensibilização de segurança para a sua C-Suite.
Porquê formar a C-Suite?
As pessoas que trabalham na C-Suite são influentes na sua empresa. Esta influência é vital para ajudar a proporcionar uma consciência de segurança consistente e eficaz em toda a organização. Por conseguinte, visar este grupo numa campanha de sensibilização para a segurança faz sentido.
O "tom no topo" é um fenómeno bem conhecido na gestão dos riscos de segurança. Este "tom no topo" é destacado no manual da Associação Europeia de Diretores (ecoDa), que oferece várias recomendações fundamentais para a mitigação de riscos numa era de ciberameaças volumosas. Uma das recomendações é definir o tom de consciencialização em toda a organização - o relatório afirma o seguinte:
"A direcção e a direcção devem dar o tom no topo e desenvolver a cultura certa e sensibilizar para desenvolver a resiliência cibernética. ”
Os Componentes de um Programa de Sensibilização para a Segurança da C-Suite
É digno de nota que o relatório do capitão da indústria do governo do Reino Unido descobriu que a sensibilização para a segurança atingiu a sala de reuniões do conselho. No entanto, a C-Suite e os membros do conselho devem fazer parte de um programa geral e direccionado de sensibilização para a segurança. A consciencialização a este nível pode cimentar a cultura de uma mentalidade de segurança em primeiro lugar.
Aqui estão os factores críticos de uma campanha de sensibilização que se centra numa C-Suite:
Construir a Tensão com Risco
A C-Suite tem muitas bolas para fazer malabarismos. O negócio principal de uma empresa deve estar sempre em primeiro lugar. Mas, se este negócio central for colocado em risco devido a ameaças cibernéticas, então uma empresa deve dar prioridade a estas ameaças.
Preparar o cenário para a formação da C-Suite mostrando o retorno do investimento na realização de um programa de Formação de Sensibilização para a Segurança. Alguns números que podem ajudar a definir isto encontram-se no relatório IBM e Ponemon Cost of a Data Breach: o Reino Unido aparece como um dos países com custos de violação de dados mais elevados, sendo a média de 4,67 milhões de dólares (£3,8 milhões) por violação.
Assim que tiver o buy-in da sua C-Suite, pode criar o quadro para um programa eficaz de Formação de Sensibilização para a Segurança que visa aqueles que se encontram no topo.
Realizar o Programa de Sensibilização para a Segurança Baseada em Funções C
Os cibercriminosos estão cada vez mais a concentrar esforços nos indivíduos e papéis numa organização. Isto faz sentido, uma vez que quanto mais as pessoas estão conscientes das questões de segurança, mais difícil se torna enganar os empregados. No entanto, se um hacker compreender o seu alvo, pode criar e-mails inteligentes, difíceis de reconhecer, de phishing. A C-Suite está na mira dos cibercriminosos, pois eles são o coração financeiro e o local de autoridade da empresa.
Um ataque bastante centrado no C aconteceu à empresa americana Scoular Co, que se tornou vítima do Business Email Compromise (BEC). A empresa perdeu 17,2 milhões de dólares para cibercriminosos através de três transferências electrónicas depois de os autores das fraudes terem visado o CEO da empresa utilizando e-mails falsos.
O Relatório de Investigação de Violação de Dados da Verizon 2021 (DBIR) assinala a importância de personalizar a Formação de Sensibilização para a Segurança e conclui:
"Não há uma abordagem singular para minimizar os riscos humanos que levam a violações. Cada empresa experimenta diferentes sabores dos mesmos tipos de ataques e deve personalizar os seus programas de engenharia comportamental e de educação sobre segurança cibernética em conformidade".
Conceba a sua Formação de Sensibilização para a Segurança em torno dos papéis da empresa e inclua os papéis da C-Suite. Concentre-se nos tipos de ataques que visam o pessoal de nível C, tais como a imitação de BEC e CEO.
Colocar o Social na C-Suite
Os cibercriminosos que visam os 'grandes peixes', tais como o CEO e o CFO, descobrirão as suas presas. Eles fazem isto como parte da cadeia de engenharia social que utiliza várias técnicas para manipular o comportamento.
Uma dessas tácticas é fazer-se passar por executivos, também conhecida como "caça à baleia" ou "imitação de executivos". Um exemplo infame disto foi um ataque 'falso profundo' de 2019, que falsificou a voz do CEO da empresa para enganar o Director Executivo do Reino Unido, levando-o a enviar $243.000 para a conta bancária do fraudador.
Esta forma de engenharia social está a crescer, com um aumento de 131% em 2020-2021. Estes tipos de fraude dependem da construção de um perfil do alvo para fornecer a inteligência para realizar a engenharia social.
Coloque a consciência da engenharia social no seu calendário de formação em segurança e forme o seu C-Suite sobre a sua vulnerabilidade nesta área...
Spear-Phish a C-Suite
A C-Suite está em risco de ataques de pesca com lanças, que são uma forma de phishing direccionada. Uma recente campanha de e-mail de phishing utilizou e-mails falsos do Microsoft Office 365 para roubar credenciais. A campanha visava os executivos da suite C e os seus assistentes em muitas indústrias.
Por Spear-phishing the C-Suite, um cibercriminoso vai directamente para o decisor de uma organização. O Spear phishing funciona como a falsificação de e-mails baseada na inteligência conhecida sobre o alvo. Os pescadores de pesca submarina utilizam frequentemente as aplicações exactas, como o Office 365, que uma empresa utiliza regularmente.
Crie uma sofisticada campanha de phishing simulada que visa especificamente os seus C-Suite. Utilize os seus conhecimentos sobre phishing baseado em funções para criar mensagens de correio eletrónico de spear-phishing de aspeto realista que visem os seus C-Suite. Utilize uma plataforma avançada de phishing simulado que utiliza a aprendizagem "point of need". Isto capta os problemas de comportamento quando estes ocorrem e dá ao utilizador informações sobre o que correu mal e porquê.
Conheça a sua C-Suite através de Métricas de Formação de Sensibilização para a Segurança
As plataformas de simulação de phishing como o MetaPhish, fornecem métricas sob a forma de um painel de controlo que apresenta os resultados dos dados das simulações de phishing. Isto dar-lhe-á feedback sobre quantos dos seus C-Suite clicaram numa ligação num e-mail de phishing simulado. Os relatórios podem até mostrar o dispositivo utilizado para aceder à mensagem de correio eletrónico de phishing; isto permite-lhe personalizar ainda mais e concentrar os seus esforços na melhoria do comportamento de segurança dos executivos.
Definir o tom da cibersegurança no topo da hierarquia
Os seus executivos que trabalham na C-Suite são os seus influenciadores internos. Mas precisam de ser exemplos de excelente comportamento de segurança para darem o exemplo a toda a força de trabalho. Dar o tom para a segurança no topo encorajará uma mentalidade de segurança primeiro. Esta mentalidade de segurança em primeiro lugar é essencial para criar uma cultura de segurança e mitigar o risco cibernético da empresa.
