0
0
O treinamento de conscientização de segurança é uma das maneiras mais simples de melhorar a resiliência geral de uma empresa contra ataques cibernéticos. Isto é, quando você acerta.
Graças às interrupções nas rotinas de trabalho “normais” que o COVID-19 trouxe, lançar um programa de treinamento em toda a empresa para ensinar os usuários finais a evitar golpes de phishing e riscos online é um grande desafio. Infelizmente, o COVID-19 também trouxe uma grande aceleração na atividade de phishing. Com tantos funcionários de escritório trabalhando fora da segurança das proteções de rede corporativa, você pode ver por que a necessidade de treinamento nunca foi tão crítica.
Mas há outra questão: o treinamento está fora do skillset para a maioria dos administradores de TI, e o nível de esforço para criar e executar um programa de cursos de treinamento, credenciamentos de conformidade e simulações de phishing pode ser assustador.
Para ajudá-lo a começar, aqui estão nossas 5 principais recomendações para iniciar seu programa de conscientização de segurança para que você possa maximizar o impacto de seus esforços.
- Obter compra de partes interessadas.
Embora você provavelmente já tenha alguma combinação de ferramentas de segurança em vigor, como proteção de ponto final, DNS ou filtragem da Web, etc., o Relatório de Investigações de Violação de Dados da Verizon de 2020 afirma que phishing e engenharia social ainda são as principais táticas usadas em violações bem-sucedidas de cibersegurança.
Certifique-se de que seus stakeholders entendam essas ameaças. Envie um e-mail apresentando o programa à gerência e explique claramente a importância de educar os usuários e medir e mitigar o risco de exposição a phishing e outros ataques de engenharia social.
- Comece com uma campanha de phishing de linha de base.
Quando você executa sua primeira campanha de phishing, você estabelece seu ponto de partida para medir e demonstrar melhoria ao longo do tempo. (Você também pode usar esses dados do mundo real para mostrar com precisão a necessidade de melhoria para quaisquer partes interessadas ainda céticas.) Idealmente, esta campanha inicial deve ser enviada a todos os usuários sem qualquer tipo de aviso prévio ou anúncio formal, incluindo membros de equipes de liderança. Certifique-se de usar uma opção que simplesmente mostra um link quebrado para os usuários que clicam, em vez de alertá-los para a campanha, para que você possa evitar que o boca-a-boca entre os funcionários distorça os resultados. - Configure treinamento essencial de segurança e conformidade.
Crie campanhas de treinamento para cobrir tópicos essenciais de cibersegurança, incluindo phishing, engenharia social, senhas e muito mais. Estabeleça quais cursos de compliance são apropriados (ou necessários) para sua organização e quais funcionários precisam completá-los. - Estabeleça uma simulação mensal de phishing e cadência de treinamento.
Repetição e relevância são fundamentais para um programa de treinamento de conscientização de segurança bem-sucedido. Ao configurar um cronograma regular de simulação e treinamento, você pode medir mais facilmente o progresso e ficar de olho em qualquer usuário de alto risco que possa precisar de atenção extra. Usar nossos módulos mais curtos de 4 a 5 minutos entre treinamentos mais substanciais é uma tática eficaz para manter a segurança no topo da mente, evitando a fadiga do usuário. E se você não pode executar simulações de phishing mensalmente, esforce-se por uma cadência trimestral. Se você receber o pushback no envio de e-mails para todos, então recomendamos que você priorize os usuários de teste que falharam na rodada anterior. - Comunicar
resultados Uma ótima maneira de aumentar a conscientização e aumentar o impacto de suas campanhas de phishing é compartilhar os resultados em toda a organização. Tenha em mente que o objetivo é capitalizar o engajamento coletivo e compartilhar resultados agregados, não chamar os indivíduos. (Seus “infratores” se reconhecerão de qualquer maneira – não há necessidade de chamá-los!)
A peça crítica é que ver as estatísticas sobre onde a organização se encontra como um todo. Após a simulação de phishing da linha de base, envie um e-mail para todos os funcionários com os resultados e o raciocínio da campanha. A comunicação desses números não só ajudará a mostrar melhora ao longo do tempo, como também demonstrará o valor do programa em geral e reforçará aos funcionários que a resiliência cibernética não é apenas o trabalho da TI – é uma responsabilidade que todos compartilhamos.
Embora existam inúmeras outras dicas e truques que podem ajudar a garantir o sucesso do seu programa de treinamento de conscientização de segurança, estes são os nossos cinco principais conselhos básicos para colocá-lo em seu caminho. Quando você segue esses passos, não vai demorar muito para ver os retornos reais do seu investimento em treinamento.
Para obter dicas mais detalhadas sobre como você pode colocar o Webroot® Treinamento de Conscientização de Segurança para trabalhar para melhorar a postura de resiliência cibernética da sua empresa, veja nosso white paper.
FONTE: WEBROOT