0
0
Você pode transformar seus funcionários em defensores da segurança cibernética, mas apenas se seus programas de conscientização de segurança realmente funcionarem. Fortalecê suas iniciativas com essas três ações.
Quantos funcionários completaram seu último treinamento de conscientização sobre segurança cibernética? Quantos clicaram na sua isca de phishing de teste? A maioria dos líderes de segurança e risco testam a segurança cibernética regularmente e podem relatar essas métricas, mas isso não significa que eles estão realmente reduzindo a exposição de sua organização a riscos de cibersegurança gerados pelo homem.
“Você precisa transformar os funcionários em controles que detectam e resistem a ataques de engenharia social, mas os líderes de segurança e risco muitas vezes não conseguem fornecer um programa de conscientização de segurança que produz mudanças significativas no comportamento dos funcionários”, diz William Candrick, analista-diretor do Gartner.
Os cibercriminosos tornaram-se especialistas em engenharia social, usando técnicas cada vez mais sofisticadas para enganar os funcionários a clicar em links maliciosos. Cabe aos líderes de segurança fornecer aos funcionários informações e know-how para se defenderem melhor contra esses ataques.
O trabalho remoto só aumentou os riscos à medida que os funcionários usam mais redes domésticas e dispositivos pessoais e tomam suas próprias decisões instantâneas sobre possíveis ameaças. “Sentados em seus escritórios, os funcionários não podem mais se voltar casualmente para um colega vizinho e perguntar se um e-mail parece autêntico”, diz Candrick.
Ataques cibernéticos estão crescendo
Quase metade de todos os diretores de conselhos pesquisados pelo Gartner em 2020 viram a segurança cibernética como uma das principais fontes de risco para sua empresa. E os riscos só estão crescendo.
Pesquisas recentes da indústria confirmam que a pandemia encorajou os cibercriminosos a aumentar o uso de estratégias de ataque comprovadas:
- O custo médio de uma violação de dados dos EUA aumentou de US$ 8,19 milhões em 2019 para US$ 8,64 milhões em 2020.1
- 36% das violações de dados em 2020 envolveram phishing e 16% envolveram credenciais roubadas.2
- Algum elemento humano desempenhou um papel em 85% de todas as violações, enquanto 10% incorporaram ransomware.2
- O pagamento médio de ransomware no 121º trimestre foi de US$ 220.298.3
O volume de ataques, e o papel fundamental dos humanos na permitir esses ataques, torna ainda mais crítico para programas de conscientização de segurança corporativa transmitir conhecimento para testar e construir a compreensão dos funcionários sobre os riscos cibernéticos.
Mas, mais importante, esses programas de conscientização de segurança precisam ensinar e reforçar práticas que permitam aos funcionários identificar e responder a atividades suspeitas quando detectam em sua organização — e evitar cometer erros com dados confidenciais.
3 ações reforçam a eficácia de programas de conscientização sobre segurança
O foco em três componentes-chave da estratégia de conscientização sobre segurança ajudará os líderes de segurança e gerenciamento de riscos a garantir que eles estão investindo adequadamente em programas de conscientização de segurança — e que eles estão realmente mudando o comportamento do usuário final para reduzir os riscos criados pelos funcionários.
Esses três componentes-chave de uma estratégia de conscientização de segurança são:
Ação nº 1: Defina a visão
Comece estabelecendo uma declaração de visão que explou os comportamentos de segurança desejados e necessários para permitir que a organização alcance seus objetivos estratégicos.
Faça isso com um grupo de trabalho multifuncional composto por representantes de toda a organização, incluindo linhas principais de funções de negócios e suporte. Aprovação segura da alta administração.
A equipe multifuncional deve desenvolver uma declaração que incorpore o “estado final” ou a aspiração para o programa de conscientização de segurança e deve ressoar em toda a organização, fornecendo um lodestar tangível para os funcionários seguirem.
Exemplos simples incluem declarações como “Nosso povo é nossa maior arma de segurança” ou “Temos uma força de trabalho consciente da segurança”.
Articular quais comportamentos de assinatura estariam em exibição se a organização alcançasse o estado final de consciência de segurança desejado. Comportamentos de assinatura são aqueles que refletem claramente a intenção positiva e o apoio dos usuários finais para a realização da visão de conscientização de segurança.
Ação nº 2: Definir comportamentos tangíveis e mensuráveis desejados
A proposta de valor central de qualquer programa de conscientização sobre segurança corporativa deve ser moldar o comportamento dos funcionários para reduzir a probabilidade e/ou o impacto de incidentes de segurança. O Gartner defende métricas orientadas a resultados (ODM) para indicar um resultado operacional e/ou de benefícios alinhado às declarações comportamentais na visão.
As taxas de conclusão obrigatórias e as métricas de resultados de verificação de conhecimento vêm através de relatórios padrão disponíveis na maioria das plataformas de treinamento baseadas em computadores de conscientização de segurança. Essas são medidas úteis de quantos de seus usuários finais estão completando o treinamento de conscientização de segurança e como é fácil entender.
São informações úteis, mas não indicam um programa eficaz de conscientização de segurança que reduz o risco ou oferece outros benefícios tangenciais para os negócios. Os ODMs medem resultados que podem ser vinculados a benefícios de proteção mensuráveis.
Ação nº 3: Vincule comportamentos a benefícios comerciais mensuráveis
Uma vez que os ODMs tenham sido colhidos, vincule esses insights aos drivers de negócios que a liderança sênior realmente se preocupa.
Comece medindo as causas básicas dos riscos cibernéticos gerados pelo homem que proporcionarão benefícios se melhorados — por exemplo, o número de incidentes de cibersegurança causados por uso indevido de dados ou erro humano. Tais métricas devem melhorar com o tempo se seu programa de conscientização estiver funcionando efetivamente (e se não funcionarem, você sabe o que melhorar).
Em seguida, vincule esses resultados de benefícios a drivers e benefícios de negócios — que se relacionarão na maioria das organizações com receita/crescimento, gerenciamento de custos, gerenciamento de riscos e reputação da marca.
1 Custo de um Relatório de Violação de Dados 2020, IBM Security
2 Verizon 2021 Data Breach Investigations Report
3 Relatório do Coveware Quarterly Ransomware
FONTE: GARTNER