This post is also available in: Português Español
Falar em Security Awareness (Consciência de Segurança, em inglês) é falar em treinamento. Afinal, o tema tem tudo a ver com orientar funcionários sobre como proteger os sistemas de computador de uma empresa, juntamente com seus dados e outros ativos contra as ameaças que vêm da Internet.
Nesse sentido, as empresas devem salientar aos colaboradores a importância de manter segura a empresa, dando uma visão geral sobre as políticas e procedimentos corporativos que abordam como trabalhar com segurança – e com quem entrar em contato se descobrirem uma ameaça potencial.
Prevenir esses incidentes é fundamental porque um ataque cibernético bem-sucedido pode prejudicar financeiramente uma empresa, sem falar nas perdas à reputação da marca no mercado.
Inclua nisso o fato de que o volume de ataques contra organizações não para de crescer. O Relatório de Investigações de Violação de Dados de 2021 da multinacional Verizon, por exemplo, estudou mais de 29 mil incidentes e relatou um total de 5.258 violações de dados no ano passado, um valor bem acima das 3.950 violações confirmadas entre 32 mil incidentes ocorridos em 2020.
E mais: o Internet Crime Complaint Center também apontou um aumento nos incidentes cibernéticos em seu relatório mais recente. Os ataques de phishing saltaram de 114.702 em 2019 para 241.342 em 2020, juntamente com 19.369 reclamações de comprometimento de e-mail comercial e comprometimento de contas de e-mail registradas – com perdas calculadas em mais de US$ 1,8 bilhão.
São números que levam a crer que a quantidade de ataques virtuais às empresas não tende a diminuir. Além disso, diversos especialistas em segurança cibernética geralmente concordam que os humanos tendem a ser a causa raiz da maioria dos incidentes. Muitos citam um relatório da IBM Security Services, chamado de “Cyber Security Intelligence Index”, que descobriu que o erro humano foi um fator crucial em 95% dos incidentes de segurança.
Apesar disso, o quadro pode ser revertido. As empresas podem sim ajudar a prevenir incidentes, ou diminuir o impacto de ataques bem-sucedidos, educando seus funcionários sobre como identificar riscos de segurança cibernética, evitar possíveis ataques e responder adequadamente a um evento cibernético real.
O quê abordar com o Security Awareness?
Um programa eficaz de treinamento de conscientização sobre segurança cibernética deve incluir trabalhadores com diferentes graus de aptidão técnica e conhecimento de segurança com estilos de aprendizagem distintos.
Precisam então ser multifacetados, com um conjunto de lições e oportunidades de aprendizado para envolver todos na empresa, independentemente de seus níveis de conhecimento. Além disso, o treinamento precisa fornecer um material adaptado às necessidades dos cargos de cada funcionário e até material adaptado a terceiros, como parceiros de negócios e terceirizados, para garantir que eles não coloquem a organização em risco.
Assim, o conteúdo educacional deve variar de material escrito a aprendizado interativo on-line, para que os trabalhadores possam acessar as informações nos formatos que aprendem melhor. O conteúdo deve incluir lições com vários graus de complexidade, com o intuito de fazer o colaborador acessar as mais relevantes informações de acordo com suas funções.
O acompanhamento e as mensagens contínuas devem conscientizar os funcionários sobre as políticas de segurança cibernética da empresa, oferecendo atualizações curtas sobre como identificar e evitar riscos e violações de segurança – bem como lidar com possíveis problemas de segurança e alertar sobre quaisquer ameaças.
Pode-se também investir em testes por meio de ataques simulados, como tentativas de phishing, pesquisas e outras avaliações, testando o quão bem a força de trabalho corporativa adere às políticas de segurança cibernética da empresa – e identifica os trabalhadores que não seguem as melhores práticas de segurança cibernética.
Assim, já existe um consenso de que um bom security awareness geralmente aborda os seguintes pontos:
- Educação formal, como aulas estruturadas e instrução obrigatória;
- Oportunidades de aprendizado informativo, como e-mails semanais contendo dicas, atualizações de políticas e atualizações de notícias de segurança cibernética;
- Aplicação de testes, nos quais os colaboradores são obrigados a trabalhar por meio de simulações e cenários para testar sua compreensão, bem como reforçar seu treinamento para lidar com os desafios de segurança cibernética do mundo real;
- Identificar e valorizar os trabalhadores que se tornaram mais habilidosos em entender a segurança cibernética, e que estejam dispostos a ensinar e promover as melhores práticas de proteção virtual entre seus colegas.
Como fazer um Security Awareness
O diretor de segurança da informação (CISO, na sigla em inglês) e a equipe de segurança cibernética da empresa, ou ainda, outros profissionais do time de tecnologia, devem ser os líderes na elaboração de um programa de treinamento de Security Awareness. Eles também devem recrutar outros membros da empresa para obter apoio e entender os riscos mais significativos que o programa proposto deve abordar.
Os líderes do programa devem trabalhar lado a lado com seu departamento de recursos humanos (RH), que normalmente lidera o treinamento e o desenvolvimento no local de trabalho, garantindo que a empresa tenha um programa bem formado e eficaz.
Os trabalhadores envolvidos no desenvolvimento do curso devem incorporar as ameaças específicas enfrentadas por seu setor e sua organização ao desenvolver um programa de treinamento, pois elas podem variar de departamento para departamento.
Por isso, o programa deve ser abrangente, começando com lições mais simples e progredindo para conteúdos mais avançados. Também deve incluir um processo de avaliação que ajude as empresas a identificar o nível de conscientização de segurança cibernética de cada trabalhador.
Além disso, os líderes organizacionais precisam considerar que diferentes funções dentro da empresa enfrentam diferentes riscos e ameaças. Só pra citar um exemplo, um funcionário de nível básico com acesso limitado a dados confidenciais e sistemas centrais de TI provavelmente encontra menos cenários de risco do que um diretor de alto nível, que trabalha com informações sensíveis, ou um funcionário sênior de TI autorizado a lidar com as principais tecnologias que viabilizam o negócio.
Muitas empresas optam por terceirizar a maior parte ou a totalidade dos treinamentos. Seja como for, os líderes organizacionais devem ter mecanismos para medir se o treinamento é eficaz tanto no nível da empresa quanto no nível dos funcionários.
Com qual frequência fazer
Especialistas na área afirmam que o Security Awareness deve ser contínuo dentro da empresa. Assim, é possível construir uma mentalidade de segurança constante junto aos colaboradores, ajudando-os a permanecer sempre vigilantes. Isso oferece às empresas excelentes oportunidades de educar os trabalhadores sobre novas políticas e procedimentos, bem como alertá-los sobre as novas ameaças que podem vir a enfrentar.
Nesse contexto, as empresas precisam estabelecer um cronograma para determinar qual treinamento fornecer para quais funcionários – e com que frequência o treinamento deve ocorrer.
O treinamento de conscientização de segurança deve ocorrer quando um novo funcionário ingressa na empresa, como parte de um processo de integração. Muitos especialistas também defendem a existência de pelo menos um processo de certificação anual para os colaboradores, com uma combinação de lições formais e informais disponíveis ao longo do ano.
Quando avaliações ou testes indicam um lapso nas melhores práticas, as empresas devem considerar o treinamento obrigatório para todos – ou pelo menos para os trabalhadores com as pontuações mais baixas. Assim, muitas empresas optam por usar um sistema de gerenciamento de aprendizado que torne o conteúdo de treinamento fácil e prontamente disponível para os funcionários – tudo para deixá-los mais capacitados no combate aos crimes virtuais.
This post is also available in: Português Español