0
0
O treinamento de conscientização sobre segurança cibernética é um negócio arriscado. E a importância de medir o risco antes e depois do treinamento está crescendo a cada dia, à medida que os clientes procuram medir o impacto do treinamento, enquanto as seguradoras cibernéticas buscam diminuir a chance de terem que pagar sinistros por uma violação. Como um todo, as mudanças em como (e se) o risco é medido estão sendo traduzidas em mudanças em como o treinamento de conscientização sobre segurança cibernética é justificado, adquirido e conduzido.
Um mundo em mudança
O risco é uma presença universal nos negócios. Seja econômico, geopolítico ou baseado em ameaças cibernéticas, o risco deve ser reconhecido, reconhecido e tratado de uma das três maneiras:
- Aceitar: O risco apresentado é aceitável para o negócio; se o risco acontecer, ele pode ser tratado.
- Mitigar: O risco existente é excessivo, por isso são feitas alterações para reduzir o nível de risco até que seja aceitável para o negócio.
- Transferência: O risco existente é excessivo, portanto transfira todo ou parte do impacto econômico do risco para terceiros. Esse é o papel do seguro.
Para saber qual desses caminhos seguir, a empresa deve encontrar uma maneira de quantificar o risco , em última análise, em termos do risco econômico representado pela ameaça. A principal mudança em andamento no setor de segurança cibernética é a crescente sofisticação com a qual o risco pode ser medido e esse risco articulado em termos que os executivos de toda a empresa possam entender. Essa mudança está transformando o treinamento de conscientização de algo como um item de “caixa de seleção” para a equipe de segurança cibernética em algo que a liderança corporativa até o nível do conselho está abordando.
Postes móveis
A mudança na compreensão do risco também está mudando a forma como o treinamento de conscientização sobre segurança cibernética é adquirido e como seus resultados são medidos. Onde o entendimento clássico do treinamento de conscientização de segurança cibernética se apoiava fortemente no modelo de “treinamento”, a indústria agora está evoluindo para uma compreensão do treinamento de conscientização de segurança cibernética como um atenuador de riscos, com mudanças previsíveis em como o impacto do treinamento – e a definição de sucesso – também .
A formação tende a ser entendida como algo que é ensinado aos formandos, com impacto medido em termos de quão bem as lições são retidas ao longo do tempo. O mecanismo de medição é geralmente testes ou questionários, com pontuações pré-treinamento medidas contra pontuações pós-treinamento na conclusão das aulas e em intervalos regulares a seguir. Quando o exercício é de redução de risco, os mecanismos de avaliação são diferentes.
Melhor Comportamento
A redução de riscos tende a ser entendida em função do comportamento do empregado, independente do aprendizado preciso que resulte na mudança de comportamento. A medição pré-treinamento é realizada por meio de ameaças simuladas apresentadas ao funcionário, com sua resposta a essas ameaças capturadas e avaliadas em relação ao comportamento das melhores práticas. O treinamento ainda pode ser apresentado em um formato de aula “clássico”, mas a avaliação assumirá a forma de simulações adicionais e medições comportamentais adicionais.
Se o comportamento pós-treinamento não mostrar uma mudança completa para as melhores práticas, o reforço é frequentemente apresentado no momento e no contexto do comportamento falho. A combinação de microaulas fornecidas durante o treinamento discreto e microaulas fornecidas quando um erro comportamental é detectado significa que os funcionários tendem a estar em um estado constante de treinamento e reforço de comportamento – o treinamento não é algo separado do trabalho diário de produtividade.
A redução de riscos por meio do treinamento de conscientização sobre segurança cibernética pode se traduzir diretamente em custos mais baixos de prêmio de seguro cibernético, tornando-o um processo que contribui para os resultados financeiros da empresa, em vez de uma simples despesa. Na prática de gerenciamento de segurança corporativa da Omdia, estamos acompanhando as tendências convergentes de quantificação de risco, treinamento de conscientização sobre segurança cibernética e seguro cibernético. Os assinantes do serviço podem ler a análise em relatórios como ” O treinamento de conscientização sobre segurança cibernética evolui para a modificação do comportamento, estimulado pela quantificação do risco “.
FONTE: DARKREADING