O Mês de Sensibilização para a Segurança Cibernética, na Europa e nos EUA, faz parte de um amplo esforço para ajudar as pessoas a permanecerem seguras e protegidas online. A iniciativa foi lançada em 2004 nos EUA e em 2012 na Europa. Este ano, o evento dos EUA centrou-se no "See Yourself in Cyber". Na Europa, o esforço promoveu o phishing e a sensibilização para o resgate.
Apoiamos obviamente quaisquer esforços para apoiar a sensibilização para a cibersegurança. As pessoas são o elo mais fraco nos esforços de segurança de uma organização. Ensinar-lhes passos simples que podem dar para se protegerem online é importante. É ainda muito mais fácil para um adversário enganar alguém para que revele uma senha ou clique num link de correio electrónico do que penetrar numa rede bem protegida. Uma boa consciência de segurança cibernética pode proteger as organizações contra perdas financeiras, sanções de conformidade, e danos à reputação.
No entanto, após anos de eventos em torno de um "Mês de Sensibilização" anual, a exploração da má consciência da segurança cibernética continua a ser o principal vector de ataque nas violações de dados.
O Relatório da Verizon Data Breach Investigation Report de 2022 concluiu que 82% das infracções no ano anterior envolveram engenharia social e as taxas de cliques de phishing continuam a aumentar. Uma vez que os atacantes ganham uma base, podem estabelecer canais de comando e controlo, mover-se lateralmente para identificar dados alvo, encriptar dados para pedidos de resgate, ou roubar informação sensível.
Cyber Security Awareness "Mês"?
Portanto, sim, apoiamos o Mês de Sensibilização para a Segurança Cibernética. Traz a atenção necessária para um problema que temos trabalhado na resolução há anos. Pode levar algumas organizações a dar os seus primeiros passos para melhorar a consciência de segurança na sua força de trabalho ou tornar os seus programas existentes mais fortes. Apenas nos opomos a tratar a consciência de segurança cibernética como um evento anual.
A aprendizagem não é um evento pontual. Não se aprende a falar uma nova língua ou a tocar um instrumento musical, concentrando-nos na tarefa uma vez por ano. O mesmo é verdade para reconhecer e evitar ameaças à segurança cibernética. Aprender a fazer qualquer uma destas coisas leva tempo e repetição.
Quando as sessões de formação são eventos realizados uma vez ou duas vezes por ano para satisfazer os requisitos de conformidade, os estudantes não retêm conhecimentos. Os famosos Curva Ebbinghaus Esquecendo a Curva mostra que os estudantes esquecem mais de 75% de uma aula só na primeira semana. No final de um mês, os estudantes retêm apenas 21% da aula.
Sensibilização dos Empregados
Ensinar é um processo, não um evento. Isto inclui o ensino da sensibilização para a segurança cibernética. Estudos mostram que a inclinação descendente da Curva do Esquecimento pode ser reduzida com o reforço regular das aulas. Estes reforços não precisam de incluir toda a informação da lição. O objectivo é manter o aprendente a pensar no material e a pô-lo em prática.
Construir uma Cultura de Sensibilização Cibernética
O "mês" de consciência de segurança cibernética pode parecer um gimmick. Um programa eficaz de sensibilização para a cibersegurança deve ser praticado 12 meses do ano, utilizando uma variedade de ferramentas e técnicas.
As lições de eLearning fazem certamente parte de qualquer programa de sucesso, mas as equipas devem reforçar as lições regularmente através de lembretes, simulações de phishing, micro-lessons, screensavers, e cartazes. As lições devem ser orientadas para as diferentes ameaças que uma organização enfrenta.
A formação das equipas financeiras deve ser adaptada às ameaças específicas dentro do departamento. As organizações de TI devem estar atentas ao roubo de credenciais privilegiadas. Todos requerem formação contínua para ataques de phishing e de resgate.
Um programa de sensibilização para a cibersegurança é uma parte importante de uma avaliação de risco global. Os responsáveis pelos programas de sensibilização devem ser capazes de acompanhar o progresso através de relatórios e iniciar acções correctivas nos casos em que o risco permanece na organização. Se os indivíduos ou equipas tiverem uma má pontuação na formação, a formação correctiva deve ser automaticamente agendada.
Mais importante ainda, as organizações que estão empenhadas na sensibilização para a segurança cibernética e a segurança em linha reconhecem a necessidade de apoio executivo. Mensagens regulares directamente da liderança sénior sobre a necessidade de higiene da segurança cibernética - e porque é uma prioridade para o negócio - ajudam a construir uma cultura de segurança duradoura.