Todos os funcionários precisam de treinamento em segurança, mas geralmente isso é uma reflexão tardia. Uma variedade de estudos ao longo dos anos mostram que o erro humano é geralmente considerado a maior vulnerabilidade nas organizações.
Para empresas de tecnologia como os fornecedores de SaaS, que também precisam de garantir que os seus programadores e engenheiros estão no topo do seu jogo de segurança, existem riscos adicionais associados à transmissão de ameaças aos clientes ao longo da cadeia de fornecimento de software. Os colegas técnicos e não técnicos devem desempenhar o seu papel – e isso só advém da aprendizagem ao longo da vida.
As empresas de tecnologia devem estar atentas à educação, ao treinamento e às melhores práticas de sua equipe. Cada aspecto de sua entrega deve minimizar o risco para a empresa, a equipe, os clientes e também os clientes de seus clientes. O pessoal técnico e não técnico deve ser treinado de acordo com padrões de qualidade, sendo os mais amplamente aplicáveis SOC 2 e ISO 27001 . Além disso, existem vários regulamentos de segurança de dados, privacidade e processamento financeiro, relevantes para determinados setores e funções de pessoal.
O treinamento em segurança sempre foi um verdadeiro desafio para as empresas de tecnologia. Os inovadores de produtos correm à frente para chegar ao mercado e há um impulso para “agir rapidamente e quebrar as coisas”. Com a escala surgem outros desafios empresariais, tecnológicos e pessoais, e a segurança deve competir com muitas outras prioridades urgentes e importantes. No momento em que muitas empresas levam isso a sério – e mesmo quando o fazem – isso não está no radar da maioria dos funcionários. É hora de isso mudar.
Levar a segurança mais a sério significa comprometer-se com o treinamento
Todos afirmam levar a segurança a sério, mas se os CISOs e líderes de departamento não atualizam, testam ou mesmo implantam táticas de equipe vermelha regularmente e frequentemente (esta é a parte principal) contra todos os funcionários, então eles não estão sendo totalmente honestos consigo mesmos.
Sem formação de atualização frequente e uma cultura que desenvolva e apoie uma força de trabalho consciente da segurança, o risco para o negócio é grande. As pessoas criam ou destroem um ambiente seguro e cometem erros, esquecem ou são enganadas facilmente.
E com a IA e a aprendizagem automática a serem agora utilizadas para criar iscas mais realistas e mais direcionadas, a única forma de mitigar este risco é com formação contínua e consciencialização contínua.
Dicas importantes para tornar o treinamento duradouro
Ensine o porquê, não apenas o quê
Isso é essencial para qualquer treinamento de qualquer tipo. Exigir o cumprimento faz com que os procedimentos obrigatórios pareçam uma imposição e toda a segurança um obstáculo a ser evitado. Explique as vulnerabilidades de segurança e as armadilhas comuns para que os usuários percebam a importância de sua vigilância. Explicar as consequências para o negócio e para cada utilizador (tanto na sua vida profissional como pessoal e familiar).
Não se intimide com detalhes técnicos
Sua equipe técnica desejará conhecer quaisquer limitações que afetem sua capacidade de execução.
Quando as soluções ou etapas de segurança puderem afetar a entrega, isso deverá ser levado em conta E explicado adequadamente aos líderes seniores em termos de gerenciamento de riscos e incidentes. Estes líderes seniores devem estar preparados para a segurança, a fim de abrandar as coisas e apoiar isto – a sensibilização para a segurança é fundamental para que isto faça parte de uma abordagem de cima para baixo à segurança.
A equipe não técnica compreenderá muito melhor a escala e os perigos presentes quando o treinamento for apoiado por exercícios e atividades que os coloquem no centro da ameaça, seguido por estatísticas sobre tempos de interrupção, custos estimados de remediação e o impacto nos negócios para eles e segurança dos funcionários caso ocorram perdas. Detalhes relevantes ressaltam a importância do exercício.
Seja humano, seja real
Cubra as principais áreas de risco – engenharia social , senhas, segurança física, manipulação de dados e conformidade, etc. – mas não se esqueça de ser humano.
Tanto o pessoal técnico quanto o pessoal da linha de negócios devem compreender quais são as principais áreas de risco para o negócio e suas próprias funções. Pense na cultura dos humanos interagindo com os humanos. Torne seguro para as pessoas verificarem ou admitirem falhas quando levarem o treinamento de volta ao mundo real.
Torne-o acessível para todos
O treinamento em segurança deve falar com os qualificados e alfabetizados em segurança para mantê-los atualizados e humildes. Também não deve sobrecarregar os menos alfabetizados tecnicamente ou desligá-los.
Vale a pena adaptar a mensagem à função e à antiguidade do público e formar grupos de pares em conjunto. Não adianta nada para os juniores não pedirem esclarecimentos porque ficam intimidados pelo gerente sentado ao lado deles.
Ter especialistas projetando treinamentos que atendem aos grupos de acordo com suas necessidades ajuda a evitar que as pessoas se percam. Todos – admitam ou não – adoram uma boa história de terror; aproveite isso com um treinamento envolvente baseado em histórias que motivará os usuários a compartilhar e discutir.
Seja engraçado, seja memorável
Implemente todas as melhores práticas de um contador de histórias para que os elementos escritos brilhem e as partes faladas caiam bem. Um bom treinamento em segurança não é algo insípido – é importante e merece ser impactante.
Lembre-se: a repetição espaçada e variada é fundamental para incorporar o aprendizado a longo prazo. Os CISOs devem correr o risco de se tornarem impopulares ao insistirem em treinamentos e atualizações frequentes e regulares. A formação regular – a formação de atualização anual padrão – já não é suficiente; deve ser fornecido treinamento freqüente planejado e surpresa. A implantação de equipes vermelhas e exercícios surpresa pode realmente melhorar o desempenho de seus funcionários. Quaisquer que sejam os resultados, garanta uma cultura de aprendizagem em vez de culpa e incentive os níveis adequados de transparência, investigação e honestidade.
Dê aos engenheiros as ferramentas para criar segurança desde o projeto
Suas equipes técnicas e de produtos precisam de ainda mais treinamento em segurança para incorporar as melhores práticas ao fluxo de trabalho de CI/CD e garantir que as soluções não sejam vulneráveis a riscos conhecidos.
Invista em ferramentas e treinamento que forneçam à equipe técnica estruturas e modelos para tornar a segurança uma etapa simples e fácil na criação de ótimos produtos. É mais barato evitar vulnerabilidades ou violações futuras na fase de desenvolvimento. Enfrente as pressões de redução de custos apontando produtos que acabaram causando problemas devido à falta de segurança e apresente um caso que mostre que produtos seguros garantem lucratividade.
Supere todos os desafios e faça valer a pena
Em suma, a formação em matéria de sensibilização para a segurança é essencial e deve ser um processo dinâmico e em evolução.
Tenha o mesmo cuidado e atenção com o conteúdo, estilo e entrega que teria com um discurso de casamento e uma apresentação para investidores. O estilo nunca deve superar o conteúdo, mas para que o treinamento de conscientização seja eficaz, ele deve ficar em segundo lugar.
Para criar resultados mais seguros, as empresas devem melhorar o seu jogo de formação em segurança, ou todo o nosso mundo digital ficará um pouco pior, um produto, um sistema, um dia de cada vez.
FONTE: HELP NET SECURITY