Segurança Empresarial
O conhecimento é uma arma poderosa que pode capacitar seus funcionários para se tornarem a primeira linha de defesa contra ameaças
Outubro 19 2023 . , 5 minutos. ler
É hora do Mês de Conscientização sobre Segurança Cibernética (CSAM) novamente em outubro. Esta é uma iniciativa de sensibilização que abrange tanto o mundo do consumidor como o mundo empresarial, embora haja muitas intersecções: afinal de contas, cada funcionário também é um consumidor. Na verdade, à medida que trabalhamos cada vez mais em casa ou no nosso espaço de trabalho remoto favorito, as linhas nunca foram tão borradas. Infelizmente, ao mesmo tempo, os riscos de compromisso nunca foram tão agudos.
A construção de um mundo mais ciberseguro começa aqui. Então, o que os chefes de TI deveriam incorporar em seus programas de conscientização sobre segurança agora e em 2024? É importante garantir que você esteja lidando com o ameaças cibernéticas de hoje e de amanhã, não os riscos do passado.
Por que o treinamento é importante
De acordo com o Verizon, três quartos (74%) de todas as violações globais durante o ano passado incluem o “elemento humano”, o que em muitos casos significou erro, negligência ou usuários sendo vítima de phishing e engenharia social. Os programas de treinamento e conscientização em segurança são uma forma crítica de mitigar esses riscos. Mas não existe um caminho rápido e fácil para o sucesso. Na verdade, o que se deve procurar não é tanto formação ou sensibilização, pois ambos podem ser esquecidos com o tempo. Trata-se de mudar o comportamento do usuário no longo prazo.
Êxtase só pode acontecer se você executar programas continuamente, para manter o aprendizado sempre em mente. E garantir que ninguém fique de fora – isso significa incluir temporários, empreiteiros e executivos de nível C. Qualquer um pode ser um alvo, e pode ser necessário apenas um erro para permitir a entrada dos bandidos. Além disso, execute sessões em pedaços pequenos, para ter uma chance melhor de as mensagens permanecerem. E sempre que possível, inclua simulação ou exercícios de gamificação para trazer uma ameaça específica à vida.
Como nós mencionado antes, as aulas podem até ser personalizadas para funções e setores específicos, para torná-las mais relevantes para o indivíduo. E as técnicas de gamificação podem ser uma adição útil para tornar o treinamento mais consistente e envolvente.
3 áreas a incluir agora e em 2024
À medida que nos aproximamos do final de 2023, vale a pena pensar no que incluir nos programas do próximo ano. Considere o seguinte:
1) BEC e phishing
Compromisso de email comercial A fraude (BEC), que aproveita mensagens de phishing direcionadas, continua a ser uma das categorias de crimes cibernéticos mais lucrativas que existem. Em casos reportado ao FBI no ano passado, as vítimas perderam mais de US$ 2.7 bilhões. Este é um crime fundamentalmente baseado na engenharia social, geralmente enganando a vítima para que aprove uma transferência de fundos corporativos para uma conta sob o controle do golpista.
Existem vários métodos pelos quais eles conseguem isso, como se passar por um CEO ou fornecedor, e estes podem ser perfeitamente encaixados em exercícios de conscientização sobre phishing. Estes devem ser combinados com investimentos em segurança avançada de e-mail, processos de pagamento robustos e verificação dupla de quaisquer solicitações de pagamento.
O phishing já existe há décadas, mas ainda é um dos principais vetores de acesso inicial às redes corporativas. E graças aos trabalhadores domésticos e móveis distraídos, os bandidos têm uma chance ainda maior de alcançar seus objetivos. Mas, em muitos casos, as táticas estão mudando, assim como os exercícios de conscientização sobre phishing. É aqui que as simulações ao vivo podem realmente ajudar a mudar o comportamento do usuário. Para 2024, considere incluir conteúdo sobre phishing por meio de aplicativos de texto ou mensagens (smishing), chamadas de voz (vishing) e novas técnicas como bypass de autenticação multifator (MFA).
As táticas específicas de engenharia social mudam com extrema frequência, por isso é uma boa ideia fazer parceria com um fornecedor de cursos de treinamento que possa atualizar seu conteúdo de acordo.
2) Segurança de trabalho remoto e híbrido
Os especialistas alertam há muito tempo que os funcionários são mais propensos a ignorar as orientações/políticas de segurança ou simplesmente esquecê-las quando trabalham em casa. Um estudo constatou que 80% dos trabalhadores admitiram que trabalhar em casa às sextas-feiras no verão os deixa mais relaxados e distraídos, por exemplo. Isto pode colocá-los em risco elevado de comprometimento, especialmente quando as redes e dispositivos domésticos podem estar menos protegidos do que os equivalentes corporativos. E é aqui que os programas de treinamento devem intervir com conselhos sobre atualizações de segurança para laptops, gerenciamento de senhas e uso apenas de dispositivos aprovados pela empresa. Deve acompanhar o treinamento de conscientização sobre phishing.
Além disso, o trabalho híbrido tornou-se a norma para muitas empresas hoje. Um afirmações de estudo 53% têm agora uma política e o número deverá certamente crescer. No entanto, deslocar-se para o escritório ou trabalhar em um local público tem seus riscos. Uma delas são as ameaças de pontos de acesso Wi-Fi públicos que podem expor os trabalhadores móveis a ataques adversários no meio (AitM), onde hackers acessam uma rede e escutam dados que trafegam entre dispositivos conectados e o roteador, e ameaças de “gêmeos malignos”. onde os criminosos configuram um ponto de acesso Wi-Fi duplicado, disfarçado de legítimo em um local específico.
Também existem menos riscos de “alta tecnologia” por aí. As sessões de formação podem ser uma boa oportunidade para lembrar o pessoal dos perigos da surf no ombro.
3) Proteção de dados
Multas do GDPR aumentou 168% ao ano, para mais de 2.9 mil milhões de euros (3.1 mil milhões de dólares) em 2022, à medida que os reguladores reprimiam o incumprimento. Isto constitui um argumento bastante forte para as organizações garantirem que os seus funcionários estão a seguir corretamente as políticas de proteção de dados.
O treinamento regular é uma das melhores maneiras de manter em mente as melhores práticas de manuseio de dados. Isso significa coisas como uso de criptografia forte, bom gerenciamento de senhas, manutenção de dispositivos seguros e relato imediato de quaisquer incidentes ao contato relevante.
A equipe também pode se beneficiar com uma atualização no uso de cópia oculta (BCC), um erro comum que leva a vazamentos não intencionais de dados de e-mail, e outros treinamentos técnicos. E devem sempre considerar se o que publicam nas redes sociais deve ser mantido confidencial.
Os cursos de treinamento e conscientização são uma parte crítica de qualquer estratégia de segurança. Mas eles não podem trabalhar isoladamente. As organizações também devem ter políticas de segurança rigorosas, aplicadas com controles e ferramentas fortes, como o gerenciamento de dispositivos móveis. “Pessoas, processos e tecnologia” é o mantra que ajudará a construir uma cultura corporativa mais cibersegura.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
- :tem
- :é
- :não
- :onde
- $3
- $UP
- 2022
- 2023
- 2024
- 7
- a
- Sobre
- Acesso
- conformemente
- Conta
- Alcançar
- alcançar
- Adição
- admitiu
- avançado
- conselho
- Depois de
- novamente
- contra
- Todos os Produtos
- ao lado de
- tb
- Apesar
- sempre
- an
- e
- Anualmente
- qualquer
- qualquer um
- Aplicativos
- SOMOS
- áreas
- por aí
- AS
- At
- Ataques
- Autenticação
- consciência
- Mau
- BE
- BEC
- tornam-se
- sido
- comportamentos
- beneficiar
- MELHOR
- Melhor
- entre
- bilhão
- patrões
- ambos
- violações
- trazer
- construir
- negócios
- mas a
- by
- chamadas
- CAN
- carbono
- casas
- casos
- Categorias
- Categoria
- Chefe executivo
- chance
- alterar
- mudança
- combinado
- como
- comum
- pendulares
- compromisso
- conectado
- Considerar
- consumidor
- Contacto
- conteúdo
- continuamente
- empreiteiros
- ao controle
- controles
- Responsabilidade
- corretamente
- poderia
- Para
- cursos
- rachado
- Crime
- Os criminosos
- crítico
- Cultura
- cibercrime
- Cíber segurança
- perigos
- dados,
- protecção de dados
- lidar
- décadas
- Defesa
- dispositivo
- Dispositivos/Instrumentos
- down
- fácil
- elemento
- elevado
- segurança de email
- Empregado
- colaboradores
- autorizar
- criptografia
- final
- noivando
- Engenharia
- garantir
- equivalentes
- erro
- especialmente
- Mesmo
- Cada
- exemplo
- executivos
- extremamente
- fato
- Favorito
- Figura
- final
- Primeiro nome
- seguinte
- Escolha
- encontrado
- fraude
- freqüentemente
- Sextas-feiras
- da
- frente
- fundo
- fundamentalmente
- gamification
- Global
- Objetivos
- Bom estado, com sinais de uso
- Cresça:
- hackers
- Manipulação
- Ter
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Início
- hotspot
- Contudo
- HTTPS
- HÍBRIDO
- idéia
- if
- ignorar
- imediatamente
- importante
- in
- incluir
- Incluindo
- incorporando
- cada vez mais
- Individual
- do estado inicial,
- Iniciativa
- para dentro
- Investimentos
- isolamento
- IT
- ESTÁ
- jpg
- apenas por
- apenas um
- Guarda
- manutenção
- manteve
- laptops
- Sobrenome
- Ano passado
- Leads
- Vazamentos
- legítimo
- menos
- lições
- deixar
- aproveita as
- vida
- como
- Provável
- Line
- linhas
- LINK
- viver
- localização
- longo
- procurando
- perdido
- fazer
- FAZ
- de grupos
- mantra
- muitos
- max-width
- Posso..
- significa
- significava
- Mídia
- mensagens
- mensagens
- métodos
- MFA
- poder
- minutos
- mente
- sente falta
- erro
- Mitigar
- Móvel Esteira
- dispositivo móvel
- Mês
- mais
- muito
- devo
- Perto
- rede
- redes
- nunca
- Novo
- Próximo
- não
- agora
- Out
- Outubro
- of
- Office
- on
- ONE
- só
- Oportunidade
- or
- organizações
- Outros
- A Nossa
- Fora
- Acima de
- parte
- particular
- parceiro
- Senha
- gerenciamento de senhas
- passado
- pagamento
- país
- Personalizado
- PHIL
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- Abundância
- políticas
- Privacidade
- possível
- Publique
- potencialmente
- poderoso
- prática
- bastante
- processo
- processos
- Programas
- protegido
- proteção
- provedor
- público
- colocar
- Links
- bastante
- elevando
- clientes
- Reguladores
- relaxado
- relevante
- permanece
- remoto
- Relatórios
- pedidos
- Risco
- riscos
- uma conta de despesas robusta
- papéis
- Rota
- roteador
- Execute
- seguro
- mesmo
- Setores
- segurança
- Consciência de segurança
- políticas de segurança
- sessões
- conjunto
- rede de apoio social
- simplesmente
- simulação
- So
- Redes Sociais
- Engenharia social
- meios de comunicação social
- vãos
- específico
- Staff
- começa
- Passo
- aderindo
- Ainda
- Estratégia
- fortalecimento
- mais forte,
- sucesso
- tal
- verão
- fornecedor
- certamente
- tática
- Tire
- Target
- visadas
- Dados Técnicos:
- técnicas
- prazo
- texto
- do que
- obrigado
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- coisas
- think
- isto
- ameaça
- ameaças
- tempo
- vezes
- para
- hoje
- também
- ferramentas
- topo
- Temas
- Training
- transferência
- para
- infelizmente
- Atualizar
- Atualizações
- usar
- Utilizador
- usuários
- utilização
- geralmente
- vário
- via
- Vítima
- vítimas
- voz
- à prova d'água
- Caminho..
- maneiras
- we
- BEM
- O Quê
- quando
- se
- qual
- Wi-fi
- precisarão
- de
- Atividades:
- trabalho a partir de casa
- trabalhadores
- trabalhar
- trabalhando em casa
- mundo
- do mundo
- ano
- Vocês
- investimentos
- zefirnet