A Formação de Sensibilização para a Segurança, sejamos realistas, pode ser seca e inapetente se não for bem feita. Uma má sessão de formação pode ser desinteressante, com os empregados aborrecidos e incapazes de apreciar as questões causadas pelos ataques de segurança cibernética. No entanto, a sensibilização dos funcionários para a segurança é uma necessidade numa era em que os atacantes utilizam o comportamento humano para executar os seus ataques. Quando uma empresa desenvolve um programa de sensibilização para a segurança, eles estão a assumir uma área crítica dos negócios modernos - enfrentar as ameaças à segurança cibernética. Mas fazer desse programa um sucesso depende do envolvimento dos empregados na natureza grave das ameaças à segurança cibernética de uma empresa.
Ideias para assegurar que a Formação de Sensibilização para a Segurança é levada a sério
Os cibercriminosos procuram tirar o máximo partido do comportamento humano. Consequentemente, os programas de sensibilização para a segurança também precisam de utilizar o comportamento humano como base para envolver o pessoal, de modo a levarem mais a sério a sua formação. Aqui estão algumas dicas para garantir que a sua Formação de Sensibilização para a Segurança seja um sucesso:
Capacitar os Empregados em Assuntos de Segurança Cibernética com a Comunicação Fácil de Incidentes
Investigadores, Dupuis e Renaud, demonstraram que o "Medo, Incerteza e Dúvida" (FUD) pode ser desmotivante e ineficaz para mudar o comportamento dos empregados em matéria de segurança. O FUD pode mesmo ser contraproducente como táctica na Formação de Sensibilização para a Segurança, causando ansiedade nos empregados. O medo não deve ser o condutor de uma organização, a qualquer nível. Em vez de assustar os empregados, recompensar o comportamento positivo de segurança e encorajar a comunicação fácil e sem problemas de incidentes de segurança. Um sistema de notificação de incidentes de segurança, que permite a notificação rápida e fácil de preocupações de segurança, pode capacitar os funcionários e libertar o factor medo. Os sistemas "Click and Report" mudam o comportamento, tornando as coisas simples e positivas. Um sistema de comunicação que é integrado num processo de comunicação de incidentes de segurança de uma empresa, torna-se um facilitador da cultura de segurança alargada de uma organização, tornando um funcionário central para essa cultura.
Tornar a Segurança Cibernética Integral, Pessoal e Cultural
Os indivíduos são o alvo dos cibercriminosos. Embora o infractor possa estar à procura de roubar grandes quantidades de dados pessoais ou de piratear um sistema informático corporativo, eles começam ao nível individual. Phishing, spear-phishing e engenharia social são todas tácticas que colocam o empregado no centro de um ataque cibernético. Sem o contributo de um indivíduo visado, muitos ataques cibernéticos cairiam por terra. Da mesma forma que os cibercriminosos têm como alvo indivíduos, a Formação de Sensibilização para a Segurança deve ser direccionada e personalizada.
A Formação de Sensibilização para a Segurança é mais bem sucedida se for personalizada: as pessoas respondem mais positivamente a algo com que se podem relacionar. Os modelos comportamentais, tais como a ecologia comportamental, oferecem uma visão do comportamento humano que pode ser aplicada para fazer da Formação de Sensibilização para a Segurança um sucesso. Certifique-se de que a sua formação se baseia no perfil de trabalho típico de um empregado, tarefas e nível de risco. Um programa personalizado ajudará a desenvolver uma cultura de segurança mais integrada que faz a ponte entre as diferentes funções dentro de uma organização. A Teoria da Aprendizagem Baseada no Jogo identificou os jogos 'experimentais', por exemplo, jogos de role-playing e relevantes para a experiência, como sendo mais bem sucedidos para a aprendizagem. Se um funcionário for mais receptivo à aprendizagem, verá a natureza séria das ameaças à segurança cibernética sem a necessidade de utilizar lições negativas, baseadas no medo.
Fazer da Formação de Sensibilização para a Segurança um Desporto de Equipa
A investigação em áreas como a teoria cognitiva social encontrou ligações entre a aprendizagem humana e os comportamentos que são afectados pelos ambientes sociais, incluindo as reacções e a aprovação de outros. Os jogos de sensibilização para a segurança podem ser a base de uma experiência de aprendizagem positiva. Tente criar equipas de funcionários que actuem em conjunto para contrariar os métodos de ataque cibernético. O ambiente de equipa pode ajudar a encorajar a aprendizagem e demonstrar ao pessoal a natureza séria das ameaças à segurança cibernética contra a organização.
Tornar a Formação de Sensibilização para a Segurança Parte de uma Cultura de Empresa em Curso
A investigação do analista Forrester sugere que a Formação de Sensibilização para a Segurança bem sucedida deve ser centrada no utilizador e concentrar-se na mudança de comportamentos. Vá além da criação de uma cultura de segurança para imbuir a segurança na cultura geral da sua empresa, utilizando a automatização de campanhas de sensibilização para a segurança. Soluções de campanhas de sensibilização automatizadas podem ser utilizadas para criar e gerir campanhas de formação de segurança cibernética eficazes e contínuas. Ao utilizar a automatização para ministrar a Formação de Sensibilização para a Segurança, torna-a parte de um sistema integrado entregue em toda a sua organização. A automatização torna a entrega e o aperfeiçoamento da consciência de segurança mais fácil e incorpora a cultura de segurança na cultura da empresa, tornando-a uma parte importante da missão de um funcionário, e não apenas uma reflexão posterior. Ao fazer da segurança uma parte integrante das expectativas da sua organização relativamente ao comportamento dos funcionários, o bom comportamento de segurança é então confirmado como uma parte importante e reconhecida da sua organização.
A mudança dos hábitos de segurança de longa duração é um negócio sério
A chave para uma empresa ciber-segurança é o empenho do seu pessoal em ajudar a mitigar as ameaças cibernéticas. Tornar a segurança do pessoal consciente significa mudar frequentemente os hábitos de longa data. Para o fazer, é necessário o envolvimento e a compreensão do pessoal sobre a importância da formação em segurança para o sucesso da organização. As métricas e o feedback podem ser um benefício na repetição do sucesso e da seriedade dos programas de formação em segurança. As métricas são úteis tanto para os funcionários verem o progresso como para a sua organização ajustar os programas de forma a melhorar a sua taxa de sucesso. Se a sua organização implementar uma solução de campanha de sensibilização automatizada, este sistema também será capaz de manter uma auditoria da utilização da Formação de Sensibilização para a Segurança pela sua organização, fornecendo um recurso importante para demonstrar a conformidade regulamentar.
As ameaças à segurança são graves, as estatísticas provam-no. Mas o medo não motiva os funcionários nem os faz compreender as implicações das suas acções. Um programa de Formação de Sensibilização de Segurança bem pensado, gerido e contínuo, que envolva os empregados numa ética empresarial, fará com que os empregados levem a segurança a sério.