0
0
O cenário cibernético continua a evoluir à medida que sua economia cresce. Os ataques de ransomware já representam trilhões de dólares em danos às empresas a cada ano e ofertas padronizadas e sofisticadas, como ransomware-as-a-service e phishing-as-a-service, em breve se tornarão comuns. Embora seja impossível para uma organização estar completamente segura, não estamos indefesos.
Pesquisas mostram que até 95% dos incidentes cibernéticos são resultado de erro humano. Muitas dessas violações decorrem de descuidos que incluem configurações incorretas do sistema ou campanhas de phishing de funcionários, mas eu diria que um componente subnotificado é a maneira como os agentes de ameaças visam e manipulam as emoções humanas. Por exemplo, ao olhar para a engenharia social de e-mails de phishing, você pode ver como atores nefastos usam a ganância, a curiosidade, a urgência e a necessidade inerente de ajudar como meios para hackear o comportamento do funcionário. Qualquer pessoa pode se tornar uma vítima nessas situações, e é por isso que a chave para estabelecer uma cultura de segurança cibernética sólida em sua força de trabalho é colocar as pessoas e o realismo no centro de sua estratégia cibernética.
Mitigar vieses humanos
As organizações devem se concentrar na natureza humana, incluindo as soft skills e comportamentos inatos de uma pessoa, ao desenvolver e implementar sua estratégia de segurança cibernética, porque os invasores usarão a cegueira de percepção e os vieses humanos a seu favor. Um dos mais fortes é o viés de confirmação, em que uma pessoa obtém uma única informação, impede que ela veja outras opções possíveis e faz com que tire conclusões incorretas e queime ciclos na área errada. O viés de trabalho é outro viés humano fundamental que dificulta a resposta a crises, já que as principais partes interessadas não têm certeza do papel que desempenham e quais são suas responsabilidades em determinadas situações.
É fundamental identificar oportunidades para emular casos de uso do mundo real, em vez dos melhores cenários, para entender como os vieses afetarão os esforços de correção. Os esforços mais fundamentados alavancam a ideação, a imersão e a gamificação em vez de informações passivas ou palestras. Realizar mesas e exercícios de jogos de guerra são maneiras eficazes de revelar vários vieses humanos que surgem quando suas equipes estão sob imensa pressão. Isso permite que você integre as melhores práticas em seu treinamento organizacional e playbooks, o que, em última análise, inverte o script do atacante sobre a natureza humana e permite que você o use a seu favor.
Unifique estruturas técnicas, de negócios e orientadas a riscos
As empresas que realizam esses jogos de mesa e guerra se sentem preparadas para enfrentar e mitigar um possível ataque. No entanto, é imprescindível que os líderes entendam que esses exercícios imersivos são realizados em um ambiente controlado. Ações planejadas podem ser facilmente perdidas no caos durante um ataque cibernético real, especialmente quando os funcionários tentam lidar com a “névoa da guerra” causada pelo estresse. A cultura de segurança começa com a forma como os funcionários sentem, agem e se comportam, e implantar uma abordagem coesa, holística e unificada para a resposta a incidentes nas primeiras horas é fundamental para o sucesso.
Uma resposta a ataques cibernéticos que unifica estruturas técnicas, comerciais e orientadas a riscos capacita as empresas a criar uma estratégia perfeita de detecção e correção. Isso prepara toda a organização – da diretoria para baixo – para quando um ataque real acontecer. O plano de resposta deve assentar numa linguagem comum em matéria de cibersegurança e de risco no local de trabalho. Instituir isso, e garantir que cada pessoa se torne fluente, deve ser uma prioridade, juntamente com a definição clara de papéis-chave em toda a empresa.
Tecer a segurança cibernética na estrutura de uma organização
A prontidão cibernética é o trabalho de todos em toda a empresa. Inserir a segurança cibernética no tecido da sua empresa e torná-la um tópico cotidiano pode reduzir os ataques cibernéticos iniciados por erros humanos na origem. Após a violação de dados da Equifax em 2017, ela reinventou sua cultura de segurança, começando com o que chamou de “destino compartilhado”. Esse pilar estratégico focou em como todos na empresa são responsáveis por proteger a organização a cada microdecisão que tomam. Está provado que é altamente bem-sucedido, porque quando cada indivíduo se sente pessoalmente responsável por manter o local de trabalho seguro, isso torna a segurança cibernética onipresente.
Organizações altamente maduras entendem a importância da preparação para crises cibernéticas. Para enraizar ainda mais uma forte cultura de segurança cibernética dentro de uma organização, os líderes devem sugerir que certos componentes do treinamento de segurança sejam realizados em casa. Se você puder fazer com que as pessoas se sintam seguras em um momento em que sua função muda de funcionário para pai, parceiro ou simplesmente fora de serviço, seu senso de responsabilidade de segurança cibernética se estenderá além do local de trabalho e se tornará parte da própria vida. Isso leva seu plano de segurança cibernética um passo adiante e abraça a prontidão cibernética generalizada.
À medida que a indústria se prepara para a próxima onda de métodos de ataque e tenta coabitar com uma nova geração de cibercriminosos, é mais importante do que nunca para as empresas reavaliar sua postura de segurança cibernética. Políticas de segurança cibernética bem-sucedidas mantêm o usuário final, o funcionário, o humano em mente. Ao fazer isso, essas políticas são sem atrito, tornando mais fácil para os funcionários fazerem a coisa certa, e permitem que as organizações forneçam uma explicação por trás do “porquê” para mitigar a resistência à mudança. Embora a implantação de recursos técnicos e treinamento sejam etapas cruciais para manter o local de trabalho e seus ativos seguros, o campo de batalha de segurança cibernética é cada vez mais humano. Para vencer a guerra, os líderes devem reconhecer isso e exercer seu povo como sua melhor defesa.
FONTE: DARK READING