0
0
Os cibercriminosos usam uma variedade de táticas ao mesmo tempo e estão constantemente inovando. As organizações precisam fazer o mesmo e adotar uma abordagem multidimensional para a segurança cibernética, porque os vídeos de treinamento semestrais não são suficientes para envolver os funcionários ou proteger seus negócios.
Sua estratégia de segurança cibernética está desengajando os funcionários?
Um mau ator roubou US$ 540 milhões de uma empresa de jogos NFT em julho, um ataque que começou com uma oferta de emprego falsa no LinkedIn. Em casos como esses, a engenharia social não parece um e-mail de phishing baseado no medo exigindo informações de contas bancárias em 24 horas. Em vez disso, esses ataques atacam as ambições das pessoas à medida que buscam novas oportunidades.
Os ataques de engenharia social podem se apresentar como e-mails de (o que parecem ser) amigos, solicitando informações de cartão de crédito, ou podem ser ataques hiperpessoais nos quais os fraudadores clonam as contas de mídia social de membros da família e usam fotos pessoais e informações de localização para convencer você eles são reais.
Os ataques de engenharia social podem ser financeira e emocionalmente devastadores. Mas sua organização não está indefesa — a melhor proteção contra eles é criar uma cultura de alfabetização digital que se expande com sua organização.
Infelizmente, muitas estratégias de treinamento em segurança cibernética não preparam os funcionários para cenários como esses.
Por exemplo, os programas de treinamento em segurança cibernética que consistem em vídeos de treinamento semestrais geralmente promovem conteúdo uniforme e de escopo limitado. Esses vídeos tendem a transmitir a mesma mensagem a cada seis meses, com a mesma rotação de perguntas do questionário.
Embora esses programas sejam fáceis de implementar, eles geralmente são secos e a natureza repetitiva do material desmotiva os funcionários, dificultando a internalização ou implantação do treinamento.
Expanda seu treinamento em segurança cibernética
O cibercrime está evoluindo e a estratégia de treinamento em segurança cibernética da sua organização também precisa evoluir. É importante identificar oportunidades de treinamento que não apenas envolvam seus funcionários, mas protejam melhor sua empresa contra engenharia social e outras estratégias de ataque.
Aqui estão cinco coisas que você deve ter em mente ao expandir sua estratégia de treinamento.
1. Começar é a parte mais difícil – não deixe que isso atrapalhe
A boa notícia é que você não precisa começar com uma implantação completa de novas políticas e estratégias – dê um passo de cada vez e desenvolva seu progresso.
Por exemplo, um ponto de partida pode envolver a distribuição de um lembrete de segurança na primeira sexta-feira do mês, pedindo aos funcionários que atualizem seus dispositivos. À medida que esse processo se torna rotineiro, adicione outra etapa: um lembrete de backup no final do mês.
Continue desenvolvendo sua estratégia de segurança cibernética, adicionando novos elementos que abordam a engenharia social e outros tipos de ataques. Antes que você perceba, a alfabetização digital da sua organização melhorará à medida que você estabelecer um ciclo de treinamento mais robusto e abrangente.
2. Crie políticas de segurança cibernética claras e específicas
Quando as organizações elaboram suas políticas de segurança cibernética, elas geralmente aplicam uma abordagem única para todos. Mas como sua organização consiste em uma variedade de equipes e funções, uma abordagem monolítica para as políticas de segurança cibernética provavelmente não cobrirá as preocupações de segurança associadas a todas as funções. Por exemplo, as ameaças cibernéticas que seu departamento financeiro enfrenta podem diferir daquelas enfrentadas pelo RH ou pela equipe de TI — um funcionário de RH provavelmente é mais suscetível a um golpe de phishing do que um funcionário de TI, portanto, eles precisam de diferentes ênfases de treinamento.
As políticas de segurança cibernética exigem um grau de personalização para funções e departamentos específicos. Comece fazendo perguntas como: Quais são as necessidades de segurança de cada departamento? E como cada departamento é mais suscetível a ataques de segurança cibernética?
3. Reconheça e resolva (medo) a fadiga
A segurança cibernética funciona como um seguro — você não vê a recompensa porque suas ações geralmente são proativas em vez de reativas. Os funcionários podem ficar frustrados com um processo que não demonstra uma recompensa imediata, por isso é importante enfatizar o valor do treinamento contínuo na prevenção de ataques antes que eles ocorram.
Tenha cuidado para não causar fadiga de medo, que ocorre quando os funcionários são constantemente expostos a más notícias ou mensagens que se concentram em resultados negativos. Treinamentos de cibersegurança que só jogam para o medo, como alertas constantes de ameaças, desmotivam os funcionários.
Ao fornecer treinamento relacionado a engenharia social ou outros tipos de ataques, encontre um equilíbrio entre comunicar as consequências reais de ataques cibernéticos e mensagens mais positivas, como práticas recomendadas e rotinas de higiene cibernética.
4. Gamifique seu treinamento
A gamificação apresenta uma oportunidade significativa para melhorar a alfabetização digital, porque melhora o engajamento. Em vez de assistir a um vídeo e responder a um teste de rotina, o treinamento de segurança cibernética acontece em uma plataforma competitiva de ganho de pontos, na qual os funcionários desenvolvem suas habilidades lado a lado. Em última análise, a gamificação torna o aprendizado divertido e as lições têm mais chances de serem mantidas.
Apenas certifique-se de que, ao gamificar o treinamento de segurança cibernética, você ainda está criando estratégias. E lembre-se do contexto – embora possa ser divertido criar exercícios de treinamento temáticos em torno de comemorações como o Halloween, um esquema de phishing do Dia da Mentira pode parecer cafona ou cruel.
5. Capacite seus funcionários
Seu principal objetivo é capacitar seus funcionários por meio de treinamento e recursos. Quando se trata de segurança cibernética, um dos recursos que sua organização deve utilizar totalmente é sua equipe de TI.
Sua equipe de TI tem mais conhecimento sobre segurança cibernética e ataques cibernéticos e está mais bem equipada para comunicar as práticas recomendadas à sua força de trabalho. Mas a comunicação é uma via de mão dupla — as equipes de TI contam com os funcionários para contatá-los quando ocorrem ataques incomuns de phishing ou problemas de segurança cibernética.
Conclusão
Os funcionários são sua primeira linha de defesa. É importante priorizar seu papel na segurança cibernética e na prevenção de violações causadas por engenharia social ou outros tipos de ataques. Os ciberataques e engenheiros sociais mais eficazes usam todo o arsenal de ferramentas à sua disposição — e você precisa fazer o mesmo. Capacite sua força de trabalho com diversas oportunidades de treinamento contínuo e implemente práticas de segurança cibernética que transformam suas equipes em sua melhor defesa.
FONTE: HELPNET SECURITY