É crucial proporcionar Formação de Sensibilização para a Segurança à sua equipa financeira para ajudá-los a compreender os riscos associados aos dados e transacções financeiras e prevenir potenciais violações de segurança.
Em Dezembro de 2021,a hacker fingindo ser a CEO ofuma empresa francesa de metalurgia fez uma chamada telefónica ao contabilista da empresa e conseguiu enganar o contabilista para enviar uma "transferência urgente e confidencial" de 300.000 euros (£264.000) para a conta bancária de um defraudador. O bando por detrás deste esquema do Business Email Compromise (BEC) roubou cerca de $40 milhões (£33 milhões) antes de ser apanhado pela Europol. Estes tipos de esquemas são uma preocupação crescente para o departamento financeiro de uma organização e representam um enorme risco para a segurança da informação.
A equipa financeira de uma organização sempre atraiu os cibercriminosos porque tem os cordões de bolsa da empresa, e os cibercriminosos seguem o dinheiro. Como tal, qualquer membro da equipa financeira deve tornar-se um alvo potencial para os golpistas e os burlões. Ataques de resgate, fraudes BEC/CEO, e ameaças cibernéticas que recolhem credenciais de login fazem todos parte dos riscos acrescidos associados a um departamento financeiro e aos membros da sua equipa.
A formação de sensibilização em matéria de segurança para as equipas financeiras é essencial no combate a esquemas centrados no ser humano, como a fraude BEC. Aqui estão as melhores práticas da MetaCompliance para assegurar que a sua equipa financeira está consciente dos riscos das suas funções.
Cinco Melhores Práticas para Dar Formação de Sensibilização em Segurança para a sua Equipa Financeira
A equipa financeira é como os patos sentados, a menos que a sua consciência de segurança se concentre nos riscos específicos que enfrentam. Aqui estão as nossas cinco melhores práticas para assegurar que a sua formação em segurança seja eficaz:
Foco nas Ameaças de Alto Risco para o Departamento Financeiro
A equipa financeira está em risco devido a vulnerabilidades específicas, uma vez que podem transferir dinheiro ou ter credenciais de login privilegiadas com acesso a informação financeira. Este nível de poder detido pela equipa financeira de uma organização significa que é mais provável que ameaças específicas sejam dirigidas a este departamento. Por conseguinte, o programa de Formação de Sensibilização para a Segurança é mais eficaz quando é adaptado a funções específicas numa organização, e um membro da equipa financeira é uma dessas funções.
A Formação de Sensibilização para a Segurança baseada em papéis aborda tipos específicos de ameaças feitas contra certos papéis dos funcionários. Criar um programa de Formação de Sensibilização para a Segurança baseado em papéis que se baseia na consciência de segurança fundamental, concentrando-se nos tipos de riscos e ameaças que um membro ou departamento da equipa financeira é susceptível de experimentar; estes incluem o seguinte:
- Business Email Compromise (BEC): educar os empregados sobre a forma como este sofisticado ataque cibernético em várias fases é levado a cabo. Assegurar que compreendem como os ciberataqueiros utilizam a engenharia social para os enganar, fazendo-os acreditar que são um executivo de nível C ou um fornecedor crítico.
- Fraude nas facturas: normalmente envolve o comprometimento de um fornecedor da empresa, mas é também um subconjunto da fraude BEC. Os infractores fingem então ser do fornecedor, solicitando o pagamento de uma factura.
- Director Executivo (CEO) Fraude: outra variante de um esquema de BEC, os burlões imitam um executivo de nível C para enganar a equipa financeira a pagar uma factura falsa. Muitas vezes, os burlões invadem ou falsificam uma conta de correio electrónico de nível C.
- Fraude de Desvio de Salário: os fraudadores fazem-se passar por empregados e solicitam que o departamento de salários altere os detalhes da sua conta para que o seu salário seja pago aos fraudadores.
Construir Simulações de Phishing que Reflectem os Riscos para as Equipas de Financiamento
O UK's ICO multou recentemente o Interserve Group Limited £4,4 milhões por não ter utilizado medidas de segurança adequadas para evitar um ataque cibernético; o ataque começou com um e-mail de phishing enviado a um funcionário do departamento de contas. Uma série de eventos, tais como o download do anexo malicioso no e-mail e o não cumprimento dos protocolos de segurança da empresa, resultou na perda de dados pessoais sensíveis de 113.000 empregados. Mesmo com gateways anti-phishing, as mensagens de phishing passam à medida que os criminosos informáticos inovam para escapar à detecção.
Os exercícios de simulação de pesca adaptados ao tipo de riscos nivelados na equipa financeira são uma boa prática indispensável para uma formação eficaz de sensibilização para a segurança. Algumas plataformas avançadas de simulação de phishing fornecerão uma variedade de modelos de phishing que poderá utilizar para adaptar os seus exercícios de formação de phishing às necessidades da sua equipa do departamento financeiro.
Criar cenários de role-playing
As equipas financeiras estão em risco de Compromisso de Email Empresarial e outros tipos relacionados de fraude multifacetada que utilizam engenharia social. Para assegurar que a Formação de Sensibilização para a Segurança é eficaz, criar cenários em que as fases típicas de um esquema financeiro são jogadas com a equipa financeira para que possam começar a reconhecer os truques que os burlões utilizam. Os cenários baseados no papel devem ser utilizados juntamente com o tradicional Security Awareness Training e exercícios simulados de phishing para enfatizar as complexas manipulações que os golpistas utilizam.
Não Esqueça a Higiene de Segurança
O departamento financeiro não se limita a cuidar do dinheiro; tem também dados financeiros e pessoais sensíveis.The Verizon 2022 Data Breach Investigations Report (DBIR) descobriu que uma variedade de problemas de erro humano causou ataques cibernéticos e levou à exposição de dados.
De acordo com o relatório, o erro humano causou 82% das violações de dados. Os erros incluíram a entrega errada de e-mails, por exemplo, o envio de dados num e-mail para a pessoa errada. Assim, ao formar equipas financeiras sobre o seu papel na segurança, lembre-se dos pormenores, tais como assegurar que as listas de destinatários de correio electrónico são verificadas antes do envio de informações importantes.
Alargar a Consciência de Segurança aos Trabalhadores Remotos na Equipa Financeira
O UK's Office para o National Statistics (ONS) descobriu que 38% dos empregados disseram ter trabalhado a partir de casa em algum momento durante os sete dias anteriores. Os funcionários do departamento financeiro irãolikely want para trabalhar a partir de casa, uma vez que estudos demonstram que este factor é essencial na retenção dos funcionários. O surgimento da semana de quatro dias é também susceptível de ver o trabalho remoto e híbrido continuar a ser uma parte popular da atracção de talentos.
Ao criar uma campanha de Formação de Sensibilização para a Segurança que visa os membros da equipa financeira, assegure-se de que forma os funcionários sobre os riscos de segurança do trabalho à distância. Tecer em elementos como o papel do empregado na manutenção da conformidade regulamentar e questões de higiene de segurança, tais como a utilização de gateways seguros e VPNs.
Ao utilizar estas melhores práticas de segurança e ao concentrar-se nos desafios únicos de trabalhar numa equipa financeira, a sua empresa pode reduzir os riscos de crimes insidiosos e dispendiosos, tais como a fraude BEC.