0
0
À medida que a inteligência artificial amplifica a sofisticação e o alcance dos ataques de phishing, vishing e smishing, entender e gerenciar os riscos cibernéticos humanos tornou-se cada vez mais vital, de acordo com o SANS Institute.
O relatório destaca os crescentes riscos cibernéticos humanos, especialmente em um momento em que 20% das organizações em todo o mundo relataram incidentes de segurança envolvendo trabalhadores remotos no ano passado.
“O mundo digital está se expandindo rapidamente e, com ele, o elemento humano da segurança cibernética se torna cada vez mais importante à medida que evolui como um alvo primário para ameaças cibernéticas globalmente”, diz Lance Spitzner, diretor de conscientização de segurança da SANS .
Notavelmente, o estudo descobriu que programas de segurança maduros, marcados por equipes robustas e suporte de liderança, são caracterizados por ter pelo menos três funcionários em tempo integral em suas equipes de conscientização de segurança.
Principais riscos cibernéticos humanos
As principais ameaças incluem ataques de phishing/vishing/smishing; riscos de senha/autenticação mitigados por ferramentas avançadas; o desafio de promover uma cultura de segurança para detecção/reportagem eficaz; e o risco de configurações incorretas do administrador de TI, especialmente em ambientes de nuvem complexos .
Como em anos anteriores, a conscientização de segurança continua predominantemente considerada um compromisso de meio período dentro das organizações. Notáveis 70% dos praticantes de conscientização de segurança revelaram que dedicaram metade ou menos de seu tempo de trabalho a isso este ano. Essa percepção ressalta o desafio contínuo de elevar a importância da conscientização contínua sobre segurança cibernética nas operações diárias das organizações.
Pela primeira vez, nossos dados revelam que profissionais especializados em gerenciamento de riscos humanos ganham até 5% a mais do que seus pares em funções de segurança mais amplas. Isso destaca a crescente demanda e valor para esses conjuntos de habilidades na indústria.
Ações-chave para aumentar o sucesso do programa
Fale em termos de risco
As equipes de liderança e segurança geralmente percebem a conscientização de segurança como não parte da segurança, mas sim como um esforço de conformidade que tem pouca relevância para o gerenciamento de riscos. Para ajudar a mudar essas percepções, concentre-se e fale em termos de gerenciamento de risco humano. É muito mais provável que o risco humano se alinhe com as prioridades estratégicas de segurança da maioria das organizações, obtenha adesão da liderança e ressoe com uma equipe de segurança.
Ajude os membros da equipe de segurança a entender como você os ajuda e trabalhe com eles para identificar os principais riscos humanos e os principais comportamentos que gerenciam esses riscos. Demonstre como comunicações, treinamento e engajamento eficazes estão mudando esses comportamentos-chave e reduzindo o risco humano. Faça parceria com as equipes de SOC, IR e inteligência de ameaças cibernéticas não apenas para aprender seu trabalho, mas também para mostrar a eles como você pode ajudar a resolver seus desafios relacionados a riscos humanos.
Suporte de liderança
Dedique de duas a quatro horas por mês para coletar métricas sobre o impacto e o valor do seu Programa de conscientização de segurança e comunicar esse valor à liderança. Essas informações podem incluir métricas informais, indicadores-chave de desempenho estabelecidos e até mesmo histórias de sucesso para permitir que a liderança entenda melhor e veja regularmente o valor que seu programa está fornecendo.
Tamanho da equipe
Embora a segurança técnica tenha sido um ponto focal para as organizações, o lado humano da segurança costuma ser negligenciado. Esse desequilíbrio torna a força de trabalho um alvo atraente para ataques cibernéticos . Não é incomum encontrar uma equipe de segurança de 50 membros com 49 focados em tecnologia, deixando apenas uma pessoa para gerenciar o risco humano. Esse subinvestimento em segurança centrada no ser humano contribui para a proeminência dos riscos cibernéticos humanos.
“O modelo tradicional de treinamento anual focado em conformidade é inadequado no cenário atual de ameaças cibernéticas, por isso incluímos conselhos práticos e acionáveis em todo o relatório”, disse Spitzner. “Desde abordar os principais riscos humanos, que de acordo com nossos dados, envolvem phishing por e-mail, até enfrentar o desafio comum de garantir recursos e orçamento adequados, pretendemos equipar as organizações com as ferramentas necessárias para melhorar suas estratégias de gerenciamento de riscos humanos e ajudar a garantir que as organizações investem proativamente em pessoal, recursos e ferramentas para abordar de forma robusta a dimensão humana dos riscos de segurança cibernética.”
FONTE: HELP NET SECURITY