Imagine o seguinte: como parte de um exercício para ensinar conscientização sobre segurança, os funcionários entram em uma sala. Uma verdadeira “sala de fuga” de segurança operacional física, que à primeira vista parece uma sala de escritório normal. Mas à medida que as pessoas olham mais de perto, interpretando os engenheiros sociais criminosos que invadiram o prédio, elas começam a detectar informações que podem usar para fins nefastos.
Por exemplo, há uma senha em uma lata de lixo. E há uma reunião por videoconferência que não foi encerrada. Ao redor dos participantes há pistas que podem ajudá-los a explorar o negócio. A esperança é que esta experiência os ajude a ver através dos olhos de um criminoso – e os deixe compreender a importância da segurança física. Quando terminarem, o objetivo é fazer com que se lembrem da necessidade de manter coisas como quadros brancos limpos, laptops trancados e documentos escondidos ou destruídos para proteger a empresa.
Este é o tipo de treinamento de conscientização de segurança que Kim Burton, chefe de confiança e conformidade da Tessian, usou para garantir que o treinamento deixasse sua marca nos funcionários.
O treinamento de conscientização duradouro ainda é extremamente necessário, pois o erro humano é responsável por muitas violações e eventos de perda de dados. Na verdade, o mais recente Relatório de investigações de violação de dados da Verizon descobriram que 74% das violações envolveram o elemento humano, o que inclui ataques de engenharia social, erros ou uso indevido.
Os números também revelam que muitas empresas ainda ficam aquém da oferta de formação de sensibilização. Novo dados da Hornetsecurity descobriram que 33% das empresas não oferecem qualquer formação de sensibilização para a cibersegurança aos utilizadores que trabalham remotamente, um acordo comum num mundo pós-COVID. E as organizações que oferecem treinamento de conscientização — seja para funcionários locais ou remotos — muitas vezes o administram apenas anualmente. Isto está longe de ser eficaz, de acordo com Lisa Plaggemier, diretora executiva da National Cyber Security Alliance, que tem uma longa história de desenvolvimento e execução de programas de sensibilização para a segurança.
É hora, diz ela, de as organizações se unirem quando se trata de uma conscientização eficaz.
“Curto, mas frequente; chega dessa bobagem que acontece uma vez por ano”, diz ela.
Vá além da conformidade
Mas o aumento da frequência é apenas uma das muitas maneiras pelas quais o treinamento moderno de conscientização em segurança precisa melhorar. Num cenário de ameaças em constante evolução, como é uma formação eficaz de sensibilização para a segurança?
“Na Aliança Nacional de Segurança Cibernética, muitos dos comportamentos que tentamos influenciar são os mesmos, então o conselho é o mesmo – usar MFA, denunciar phishing, etc. – mas nós os entregamos por meio de mensagens exclusivas ao longo do tempo”, diz Plaggemier. “Essas mensagens utilizam abordagens diferentes: contar histórias a partir da perspectiva da vítima, contar histórias a partir da perspectiva do defensor, aproveitando os acontecimentos actuais nas manchetes.”
Atraente, oportuno, envolvente e memorável. Parece simples, certo? Mas isso não. O principal problema que impede muitas empresas é a atitude, diz o Dr. Jason Nurse, diretor de ciência e pesquisa da CybSafe e professor associado de segurança cibernética na Universidade de Kent.
“Muitos programas de sensibilização para a segurança ainda fracassam porque a organização vê a formação como uma caixa que deve ser assinalada”, diz ele. “As organizações muitas vezes se concentram na conformidade e no cumprimento dos requisitos básicos, o que pode resultar em treinamento que carece de profundidade e envolvimento.”
Crie uma consciência ‘pegajosa’
Como podem os líderes de segurança montar um programa que vá muito além dos mandatos de conformidade e transformar o treinamento em algo que as pessoas não apenas lembrem, mas que realmente usem quando confrontadas com decisões baseadas em riscos?
Uma forma é entregar o conteúdo por meio de um canal de comunicação que funcione para eles, afirma Enfermeira. Estudos da CybSafe no início deste ano descobriu que 79% dos funcionários de escritório provavelmente seguirão os conselhos de segurança fornecidos nas plataformas que usam diariamente, como Slack e Teams. E 90% dos entrevistados consideraram que estímulos de segurança em plataformas de mensagens instantâneas seriam valiosos. Da mesma forma, as pessoas que receberam informações cibernéticas diariamente e semanalmente tiveram duas vezes mais probabilidades de se lembrarem de toda a sua formação do que aquelas que as receberam mensalmente, trimestralmente ou anualmente.
“Embora uma compreensão básica da higiene cibernética seja essencial através de treinamento regular e envolvente, é igualmente crucial ajudar os funcionários quando eles precisam, em um formato útil”, diz Nurse. “A formação deve ir além da simples transmissão de informação; deve orientar os indivíduos sobre como se comportar de forma segura nas suas atividades diárias. Além disso, deve garantir que as pessoas saibam onde procurar ajuda quando necessário.”
Outra maneira de fazer com que signifique mais é tornar o treinamento baseado em funções. Um modelo único é “até certo ponto necessário para a conformidade”, diz Plaggemier, “mas uma vez cumprida a sua obrigação de conformidade, as pessoas devem receber formação adequada às suas funções e aos riscos específicos que as afectam. ”
Burton, da Tessian, diz que, além de torná-lo muito genérico, muitas organizações deixam de considerar a cultura e o panorama geral ao planejar o treinamento.
“Os programas não levam em consideração as experiências holísticas dos funcionários, como a cultura atual da organização, os sinais atuais da liderança sobre a importância das práticas seguras e onde o funcionário em geral está sendo solicitado a usar a maior parte do seu tempo e energia”, diz ela. “Os programas de conscientização sobre segurança podem negligenciar os funcionários que não são de engenharia, e os engenheiros podem não ter orientação para integrar o material em sua prática.”
“Não existe uma maneira certa de treinar as pessoas para serem ciberseguras. Só existe o caminho certo para sua organização, departamento ou equipe”, acrescenta Nurse.
Jogue para a sala
Outro fator importante para a conscientização fixa é conhecer seu público, diz Burton. Como um bom comediante de stand-up, você precisa entender para quem está interpretando se quiser que eles se lembrem do que você está dizendo.
“O primeiro passo é a empatia”, diz ela. “O educador de segurança precisa de um conhecimento profundo das pessoas que ensina. A repetição por um longo período de tempo e a introdução do conteúdo de diversas maneiras também garantirá a lembrança. E por fim, não se esqueça de se divertir. As organizações frequentemente perdem o interesse e o envolvimento devido ao medo de serem muito estranhas. No entanto, é mais provável que as pessoas retenham conteúdo exclusivo. Estranho é bom! Seja engraçado, seja criativo, encontre alegria!”
Burton, além da sala de fuga, também fez com que os funcionários participassem de um concurso de histórias que pedia aos funcionários que escrevessem uma “história assustadora de Halloween” sobre como atacariam a empresa. Ela também criou narrativas que colocam as pessoas na posição de analista de segurança da empresa, em que devem avaliar a segurança de fornecedores externos.
O treinamento de segurança mais eficaz, diz ela, cobre os principais riscos que preocupam a empresa; é adaptado ao público; os conceitos são apresentados ao longo do tempo e de diversas maneiras; e o material é memorável devido à sua entrega, humor ou experiência criativa única.
“O componente principal tem sido, e sempre será, o foco nas próprias pessoas.”
COMO PASSAR DO ESQUECÍVEL PARA O MEMORÁVEL CONSCIÊNCIA DE SEGURANÇA
O treinamento rígido de conscientização sobre segurança pode ser difícil para muitas organizações. E com 74% dos eventos de segurança diretamente ligados a erros humanos, é importante encontrar formas de chegar aos funcionários e ajudá-los a compreender os riscos cibernéticos. Kim Burton, chefe de confiança e conformidade da Tessian, utiliza uma variedade de técnicas de treinamento de conscientização em seus programas. Aqui estão os princípios importantes que ela deve ter em mente ao criar um programa em sua própria empresa.
- Trabalhe com a forma como as pessoas trabalham: Utilize informações sobre como funciona a memória humana, como os seres humanos aprendem, que incentivos proporcionam os melhores resultados a longo prazo.
- Aborde holisticamente: Entenda os funcionários. Que pressões eles enfrentam? Como é a cultura local? Como é a cultura interna? Que formação profissional essas pessoas têm? Como a equipe de segurança ou a equipe de TI é percebida atualmente internamente? Os executivos defendem a segurança?
- Conte histórias: Compartilhe anedotas reais, conte histórias do setor ou de sua experiência e use exemplos. Isso ajuda as pessoas a se verem na narrativa. Idealmente, cada indivíduo seria capaz de ver como contribui de forma única para a história de segurança da organização.
- Gamificação: Vá além de uma tabela de classificação. Torne o envolvimento com conteúdo de segurança divertido usando seu conhecimento de como as pessoas trabalham e a experiência holística de trabalhar em sua empresa. Faça quebra-cabeças, incentive a curiosidade e o mistério, recrie o prazer da descoberta na aprendizagem, aponte o progresso e use o reforço positivo para comportamentos seguros.
- Ganhar confiança: Construa relacionamentos internamente. Torne-se uma fonte confiável de informações, mas também uma pessoa segura e vulnerável a conceitos difíceis, erros de segurança e preocupações gerais. O educador de segurança deve ser uma das pessoas mais conhecidas no ramo.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :tem
- :é
- :não
- :onde
- 7
- a
- Capaz
- Sobre
- Segundo
- Conta
- Aja
- atividades
- real
- Adição
- Adiciona
- administrar
- conselho
- afetar
- Todos os Produtos
- aliança
- tb
- sempre
- an
- analista
- e
- Anualmente
- qualquer
- se aproxima
- apropriado
- SOMOS
- por aí
- arranjo
- AS
- Jurídico
- At
- ataque
- Ataques
- atitude
- público
- consciência
- em caminho duplo
- fundos
- basic
- BE
- Porque
- tornam-se
- sido
- comportamentos
- ser
- seres
- MELHOR
- Pós
- Grande
- Big Picture
- Caixa
- violação
- violações
- Quebrou
- construir
- Prédio
- negócio
- mas a
- by
- CAN
- campeão
- Canal
- mais próximo
- vem
- comum
- Comunicação
- Empresas
- Empresa
- compliance
- componente
- conceitos
- preocupado
- Preocupações
- Conferência
- Considerar
- constantemente
- conteúdo
- contribuir
- núcleo
- poderia
- Covers
- criado
- Criar
- Criatividade
- Criminal
- crucial
- Cultura
- curiosidade
- Atual
- Atualmente
- cibernético
- cíber segurança
- Cíber segurança
- diariamente
- dados,
- violação de dados
- Perda de Dados
- dia a dia
- decisões
- profundo
- Grau
- deliciar
- entregar
- Entrega
- Departamento
- profundidade
- desesperadamente
- em desenvolvimento
- diferente
- difícil
- diretamente
- Diretor
- descoberta
- do
- INSTITUCIONAIS
- parece
- don
- feito
- dr
- dois
- cada
- Mais cedo
- Eficaz
- elemento
- empatia
- Empregado
- colaboradores
- encorajar
- energia
- COMPROMETIMENTO
- noivando
- Engenharia
- Engenheiros
- garantir
- Entrar
- igualmente
- erro
- erros
- escapar
- essencial
- etc.
- avaliar
- eventos
- evolução
- exemplo
- exemplos
- executivo
- Diretora Executiva
- executivos
- Exercício
- vasta experiência
- Experiências
- Explorar
- externo
- Olhos
- Rosto
- enfrentou
- fato
- fator
- FALHA
- Cair
- longe
- medo
- Finalmente
- Encontre
- Primeiro nome
- plano
- Foco
- Escolha
- formato
- encontrado
- Frequência
- freqüente
- freqüentemente
- da
- Diversão
- engraçado
- Além disso
- Geral
- ter
- Go
- meta
- Bom estado, com sinais de uso
- guia
- tinha
- Dia das Bruxas
- Ter
- he
- cabeça
- headlines
- ajudar
- útil
- ajuda
- sua experiência
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- oculto
- história
- segurando
- holística
- esperança
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- humano
- Elemento Humano
- humor
- idealmente
- if
- importância
- importante
- melhorar
- in
- incentivos
- inclui
- Individual
- indivíduos
- indústria
- influência
- INFORMAÇÕES
- instantâneos
- integrar
- interesse
- interno
- internamente
- para dentro
- introduzindo
- investigações
- envolvido
- IT
- ESTÁ
- jpg
- apenas por
- Guarda
- Chave
- Kim
- Tipo
- Saber
- Conhecimento
- Conhecimento
- Falta
- paisagem
- laptops
- líderes
- Liderança
- APRENDER
- aprendizagem
- esquerda
- aproveitando
- como
- Provável
- local
- trancado
- longo
- longo prazo
- mais
- olhar
- parece
- OLHARES
- perder
- fora
- lote
- fazer
- Fazendo
- mandatos
- muitos
- marca
- material
- Posso..
- significar
- reunião
- memorável
- Memória
- Mentorship
- mensagens
- mensagens
- MFA
- mente
- erros
- mau uso
- EQUIPAMENTOS
- mensal
- mais
- a maioria
- mover
- movimentos
- devo
- Mistério
- NARRATIVA
- narrativas
- Nacional
- necessário
- você merece...
- necessário
- Cria
- Novo
- não
- obrigação
- of
- Office
- frequentemente
- on
- uma vez
- ONE
- só
- operacional
- or
- organização
- organizações
- Fora
- resultados
- Acima de
- próprio
- parte
- participantes
- Senha
- Pessoas
- pessoas trabalham
- percebido
- significativo
- pessoa
- perspectiva
- Phishing
- físico
- fotografia
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- jogar
- ponto
- posição
- positivo
- prática
- práticas
- apresentado
- pressões
- Problema
- profissional
- Professor
- Agenda
- Programas
- Progresso
- proteger
- fornecer
- fornecido
- fornecendo
- fins
- colocar
- Quebra-cabeças
- RE
- alcançar
- reais
- recebido
- receber
- recentemente
- regular
- Relacionamentos
- lembrar
- remoto
- Relatórios
- Requisitos
- pesquisa
- respondentes
- responsável
- resultar
- reter
- revelar
- certo
- riscos
- Tipo
- Quarto
- corrida
- s
- seguro
- mesmo
- diz
- Ciência
- seguro
- firmemente
- segurança
- Consciência de segurança
- eventos de segurança
- Vejo
- Buscar
- Shape
- Partilhar
- ela
- Baixo
- rede de apoio social
- sinais
- Similarmente
- simples
- folga
- So
- Redes Sociais
- Engenharia social
- algo
- fonte
- específico
- Spot
- começo
- Passo
- pegajoso
- Ainda
- Histórias
- História
- narrativa
- tal
- certo
- adaptados
- Tire
- conto
- Ensino
- Profissionais
- equipes
- técnicas
- dizer
- dizendo
- princípios
- que
- A
- deles
- Eles
- si mesmos
- Lá.
- Este
- deles
- coisas
- isto
- este ano
- aqueles
- pensamento
- ameaça
- Através da
- Amarrado
- tempo
- oportuno
- para
- juntos
- também
- Trem
- Training
- Confiança
- confiável
- tentando
- Twice
- compreender
- compreensão
- único
- unicamente
- universidade
- usar
- usava
- usuários
- usos
- utilização
- Valioso
- variedade
- Ve
- fornecedores
- Verizon
- Vítima
- Vídeo
- Videoconferência
- visualizações
- Vulnerável
- queremos
- Caminho..
- maneiras
- we
- semanal
- bem conhecido
- foram
- O Quê
- O que é a
- quando
- se
- qual
- enquanto
- QUEM
- precisarão
- de
- dentro
- Atividades:
- trabalhadores
- trabalhar
- trabalho
- mundo
- seria
- escrever
- ano
- Vocês
- investimentos
- zefirnet