As pessoas são o principal vetor de ataque em todo o mundo

0 0

Com um número sem precedentes de funcionários agora trabalhando em ambientes híbridos ou totalmente remotos, agravado por um aumento de ameaças cibernéticas e uma força de trabalho mais sobrecarregada e cansada de informações sobre a COVID-19, nunca houve um momento mais crítico para criar e manter efetivamente uma força de trabalho de segurança cibernética e uma cultura de segurança engajada.

“As pessoas se tornaram o principal vetor de ataque para ciber-atacantes em todo o mundo”, disse Lance Spitzner, Diretor de Conscientização de Segurança da SANS. “Os humanos, em vez da tecnologia, representam o maior risco para as organizações e os profissionais que supervisionam os programas de conscientização de segurança são a chave para gerenciar efetivamente esse risco.”

“Os programas de conscientização permitem que as equipes de segurança gerenciem efetivamente seu risco humano, mudando a forma como as pessoas pensam sobre segurança cibernética e as ajudam a exibir comportamentos seguros, desde o Conselho de Administração para baixo”, disse Spitzner.

Principais descobertas

• Força de trabalho: Mais de 69% dos profissionais de conscientização de segurança estão gastando menos da metade do seu tempo com conscientização de segurança. Os dados mostram que as responsabilidades de conscientização de segurança são muito comumente atribuídas a funcionários com formações altamente técnicas que podem não ter as habilidades necessárias para envolver efetivamente sua força de trabalho em termos simples de entender.
• Remuneração dos EUA: O salário médio relatado foi de US$ 110.309 para profissionais de treinamento de segurança, um aumento em relação a 2021. No entanto, aqueles dedicados em tempo integral à conscientização receberam, em média, apenas US$ 86.626, enquanto aqueles que estão em meio período tiveram uma média de US$ 11.584 – US$ 30.000 de diferença. Essa diferença ocorre porque as pessoas dedicadas a tempo parcial à conscientização sobre segurança têm sua remuneração com base em suas outras responsabilidades, que geralmente são mais focadas tecnicamente.
• Remuneração global: Os profissionais de conscientização de segurança na Austrália/Nova Zelândia tiveram a maior compensação média anual (US$ 121.236), enquanto a América do Sul teve a menor (US$ 56.960). Na América do Norte, quanto maior o nível de maturidade do programa de conscientização de segurança de uma organização, maior o salário para os profissionais de conscientização que trabalham lá.
• Principais desafios relatados: Os três principais desafios relatados para a construção de um programa de conscientização madura estavam todos relacionados à falta de tempo: especificamente Falta de tempo para gerenciamento de projetos, limites de tempo de treinamento para envolver os funcionários e falta de pessoal.
• Impactos da pandemia: Os dois principais impactos relatados foram o desafio de uma força de trabalho mais distraída e sobrecarregada e um ambiente de trabalho onde os ataques cibernéticos baseados em humanos se tornaram mais frequentes e eficazes.
• Maturidade do programa por região: Consistente em todas as regiões globais é que os níveis de maturidade mais comuns dos programas atuais são focados na conformidade e na mudança de conscientização/comportamento.
• Indicadores de sucesso do programa: Forte suporte de liderança, aumento do tamanho da equipe e maior frequência de treinamento lideraram os gráficos como principais facilitadores para o sucesso do programa.

Principais itens de ação para aumentar o sucesso do programa

• Itens de ação para aumentar o apoio à liderança: Uma das principais maneiras de aumentar o apoio à liderança é falar em termos de gerenciamento de risco, não conformidade, e explicar POR QUE você está fazendo algo, não O QUE está fazendo. Além disso, criar um senso de urgência utilizando dados e comunicando valor, demonstrando alinhamento com as prioridades da liderança.
• Itens de ação para aumentar o tamanho da equipe: Documentar e contrastar quantas pessoas na equipe de segurança estão focadas na tecnologia versus quantas na equipe estão focadas no risco humano, foi recomendado criar um documento para explicar completamente as necessidades do pessoal e desenvolver parcerias com os principais departamentos que possam ajudar a desenvolver maneiras de comunicar o valor do programa.
• Itens de ação para aumentar a frequência de treinamento: Recomenda-se que as organizações se comuniquem, interajam ou treinem sua força de trabalho pelo menos uma vez por mês. Manter o treinamento simples e fácil de seguir foi a chave para aumentar suas oportunidades de engajar e treinar sua força de trabalho.

“Os programas de conscientização de segurança mais maduros não apenas mudam o comportamento e a cultura de sua força de trabalho, mas também medem e demonstram seu valor para a liderança por meio de uma estrutura de métricas”, continuou Spitzner. “As organizações não podem mais justificar um treinamento anual para marcar a caixa de conformidade, e continua sendo fundamental que as organizações dediquem pessoal, recursos e ferramentas suficientes para gerenciar seu risco humano de forma eficaz.”

FONTE: HELPNET SECURITY