Um inquérito recente do Governo britânico, "Cyber resilience captains of industry survey 2021" (Capitães da resiliência cibernética do inquérito à indústria 2021) tem alguns conhecimentos interessantes sobre a consciência dos riscos de segurança cibernética a nível da C-Suite e do conselho de administração de uma organização.
O inquérito descobriu que quase todos os inquiridos vêem o conselho de administração incorporar considerações de risco cibernético em assuntos mais amplos da empresa. No entanto, o relatório cita este facto com o seguinte aviso:
"Os capitães ainda acham que há mais que pode ser feito para equipar os membros do Conselho para lidarem com as ameaças cibernéticas.Os capitães mencionam mais frequentemente a sensibilização dos membros do Conselho de Administração e a formação específica".
A C-Suite e o conselho são grupos específicos que requerem formação à medida para satisfazer as suas necessidades únicas. Aqui estão algumas ideias para criar um programa de sensibilização de segurança para a sua C-Suite.
Porquê formar a C-Suite?
As pessoas que trabalham na C-Suite são influentes na sua empresa. Esta influência é vital para ajudar a proporcionar uma consciência de segurança consistente e eficaz em toda a organização. Por conseguinte, visar este grupo numa campanha de sensibilização para a segurança faz sentido.
O 'tom no topo' é um fenómeno bem conhecido na gestão de riscos de segurança. Este 'tom no topo' é realçado no manual da Associação Europeia de Directores (ecoDa), que oferece várias recomendações chave na mitigação do risco numa era de volumosas ameaças cibernéticas. Uma das recomendações é estabelecer o tom da consciencialização em toda a organização - o relatório afirma-o:
"A direcção e a direcção devem dar o tom no topo e desenvolver a cultura certa e sensibilizar para desenvolver a resiliência cibernética. ”
Os Componentes de um Programa de Sensibilização para a Segurança da C-Suite
É digno de nota que o relatório do capitão da indústria do governo do Reino Unido descobriu que a sensibilização para a segurança atingiu a sala de reuniões do conselho. No entanto, a C-Suite e os membros do conselho devem fazer parte de um programa geral e direccionado de sensibilização para a segurança. A consciencialização a este nível pode cimentar a cultura de uma mentalidade de segurança em primeiro lugar.
Aqui estão os factores críticos de uma campanha de sensibilização que se centra numa C-Suite:
Construir a Tensão com Risco
A C-Suite tem muitas bolas para fazer malabarismos. O negócio principal de uma empresa deve estar sempre em primeiro lugar. Mas, se este negócio central for colocado em risco devido a ameaças cibernéticas, então uma empresa deve dar prioridade a estas ameaças.
Preparar o cenário para a formação da C-Suite mostrando o retorno do investimento na realização de um programa de Formação de Sensibilização para a Segurança. Alguns números que podem ajudar a definir isto encontram-se no relatório IBM e Ponemon Cost of a Data Breach: o Reino Unido aparece como um dos países com custos de violação de dados mais elevados, sendo a média de 4,67 milhões de dólares (£3,8 milhões) por violação.
Assim que tiver o buy-in da sua C-Suite, pode criar o quadro para um programa eficaz de Formação de Sensibilização para a Segurança que visa aqueles que se encontram no topo.
Realizar o Programa de Sensibilização para a Segurança Baseada em Funções C
Os cibercriminosos estão cada vez mais a concentrar esforços nos indivíduos e papéis numa organização. Isto faz sentido, uma vez que quanto mais as pessoas estão conscientes das questões de segurança, mais difícil se torna enganar os empregados. No entanto, se um hacker compreender o seu alvo, pode criar e-mails inteligentes, difíceis de reconhecer, de phishing. A C-Suite está na mira dos cibercriminosos, pois eles são o coração financeiro e o local de autoridade da empresa.
Um ataque bastante centrado no C aconteceu à empresa americana Scoular Co, que se tornou vítima do Business Email Compromise (BEC). A empresa perdeu 17,2 milhões de dólares para cibercriminosos através de três transferências electrónicas depois de os autores das fraudes terem visado o CEO da empresa utilizando e-mails falsos.
O Relatório de Investigação de Violação de Dados da Verizon 2021 (DBIR) assinala a importância de personalizar a Formação de Sensibilização para a Segurança e conclui:
"Não há uma abordagem singular para minimizar os riscos humanos que levam a violações. Cada empresa experimenta diferentes sabores dos mesmos tipos de ataques e deve personalizar os seus programas de engenharia comportamental e de educação sobre segurança cibernética em conformidade".
Conceba a sua Formação de Sensibilização para a Segurança em torno dos papéis da empresa e inclua os papéis da C-Suite. Concentre-se nos tipos de ataques que visam o pessoal de nível C, tais como a imitação de BEC e CEO.
Colocar o Social na C-Suite
Os cibercriminosos que visam os 'grandes peixes', tais como o CEO e o CFO, descobrirão as suas presas. Eles fazem isto como parte da cadeia de engenharia social que utiliza várias técnicas para manipular o comportamento.
Uma dessas tácticas é fazer-se passar por executivos, também conhecida como "caça à baleia" ou "imitação de executivos". Um exemplo infame disto foi um ataque 'falso profundo' de 2019, que falsificou a voz do CEO da empresa para enganar o Director Executivo do Reino Unido, levando-o a enviar $243.000 para a conta bancária do fraudador.
Esta forma de engenharia social está a crescer, com um aumento de 131% em 2020-2021. Estes tipos de fraude dependem da construção de um perfil do alvo para fornecer a inteligência para realizar a engenharia social.
Coloque a consciência da engenharia social no seu calendário de formação em segurança e forme o seu C-Suite sobre a sua vulnerabilidade nesta área...
Spear-Phish a C-Suite
A C-Suite está em risco de ataques de pesca com lanças, que são uma forma de phishing direccionada. Uma recente campanha de e-mail de phishing utilizou e-mails falsos do Microsoft Office 365 para roubar credenciais. A campanha visava os executivos da suite C e os seus assistentes em muitas indústrias.
Por Spear-phishing the C-Suite, um cibercriminoso vai directamente para o decisor de uma organização. O Spear phishing funciona como a falsificação de e-mails baseada na inteligência conhecida sobre o alvo. Os pescadores de pesca submarina utilizam frequentemente as aplicações exactas, como o Office 365, que uma empresa utiliza regularmente.
Crie uma sofisticada campanha de phishing simulada que é especificamente destinada à sua C-Suite. Use os seus conhecimentos de phishing baseado em papéis para criar emails de phishing com aspecto realista que visam a sua C-Suite. Utilize uma plataforma avançada de phishing simulado que utiliza a aprendizagem do 'ponto de necessidade'. Isto capta as questões de comportamento quando estas ocorrem e dá ao utilizador informações sobre o que correu mal e porquê.
Conheça a sua C-Suite através de Métricas de Formação de Sensibilização para a Segurança
Plataformas de simulação de phishing, tais como MetaPhish, fornecem métricas sob a forma de um painel de controlo que apresenta os resultados das simulações de phishing. Isto dar-lhe-á um feedback sobre quantos dos seus C-Suite clicaram num link num e-mail de phishing simulado. Os relatórios podem até mostrar o dispositivo utilizado para aceder ao e-mail de phishing; isto permite-lhe personalizar ainda mais e concentrar os seus esforços na melhoria do comportamento de segurança dos executivos.
Colocar o tom para a segurança no topo
Os seus executivos que trabalham na C-Suite são os seus influenciadores internos. Mas precisam de ser exemplos de excelente comportamento de segurança para darem o exemplo a toda a força de trabalho. Dar o tom para a segurança no topo encorajará uma mentalidade de segurança primeiro. Esta mentalidade de segurança em primeiro lugar é essencial para criar uma cultura de segurança e mitigar o risco cibernético da empresa.
