0
0
O cenário de ameaças cada vez mais complexo e o ambiente de TI poroso – impulsionados pela mudança para o trabalho remoto/híbrido permanente e a transformação digital – tornam a necessidade de uma força de trabalho com conhecimento de segurança e uma cultura de segurança saudável mais crítica do que nunca. Defensores corporativos dizem que ataques de phishing e engenharia social, ransomware e comprometimento de e-mail comercial (BEC) estão entre suas maiores dores de cabeça do dia a dia.
Os programas de conscientização de segurança podem ajudar a distê-los, mas ninguém parece ter tempo para criá-los, de acordo com o “Relatório de Conscientização de Segurança do SANS 2022“. Os três principais desafios para a construção de um programa de conscientização maduro citados são a falta de tempo para o gerenciamento de projetos, os limites de tempo disponível para treinar os funcionários e não ter tempo suficiente para se concentrar na conscientização de segurança por causa da escassez de pessoal. A falta de orçamento e a falta de apoio à liderança também fizeram parte da lista.
“As pessoas se tornaram o principal vetor de ataque para ciber-atacantes em todo o mundo”, diz Lance Spitzner, diretor de Conscientização de Segurança da SANS e coautor do relatório SANS. “Os seres humanos, em vez da tecnologia, representam o maior risco para as organizações, e os profissionais que supervisionam os programas de conscientização de segurança são a chave para gerenciar efetivamente esse risco.”
Os profissionais de conscientização de segurança não têm habilidades relevantes, mostra o relatório. As responsabilidades de conscientização de segurança são muito comumente atribuídas a funcionários com formações altamente técnicas que podem não ter as habilidades necessárias para envolver efetivamente sua força de trabalho e comunicar riscos de segurança em termos simples de entender, de acordo com o relatório.
Mais de 69% dos profissionais de conscientização de segurança estão gastando menos da metade do tempo com conscientização de segurança, mostra o relatório. Isso é porque eles têm outras responsabilidades de segurança. As empresas devem se concentrar em ter mais profissionais focados na conscientização de segurança, em vez de torná-la parte de uma lista já longa de tarefas. O relatório incentiva a documentar e contrastar quantas pessoas na equipe de segurança estão focadas na tecnologia e quantas na equipe estão focadas no risco humano, a fim de criar um caso para uma equipe mais dedicada.
O relatório sugere que um programa de conscientização de segurança bem-sucedido requer um forte suporte de liderança, uma equipe mais dedicada e um cronograma de treinamento para os funcionários que enfatize a frequência. As organizações também devem se comunicar, interagir ou treinar sua força de trabalho pelo menos uma vez por mês. Manter o treinamento simples e fácil de seguir é fundamental para uma força de trabalho engajada, diz o relatório.
“As organizações não podem mais justificar um treinamento anual para marcar a caixa de conformidade, e continua sendo fundamental que as organizações dediquem pessoal, recursos e ferramentas suficientes para gerenciar seu risco humano de forma eficaz”, disse Spitzner.
FONTE: DARK READING