3 melhores práticas de simulação de phishing
Reunimos as 3 melhores práticas mais importantes para seguir em suas simulações de phishing.
Vamos detalhar qual é a estratégia para construir uma cultura de segurança, o que você precisa fazer e quais são as melhores práticas para colocá-la em ação.
Agora vamos detalhar qual é a estratégia para construir uma cultura de segurança, o que você precisa fazer e quais são as melhores práticas para colocá-la em ação.
Mas aqui vai um lembrete: não existe uma estratégia de “tamanho único”. Pense no que melhor se adapta a você e aplique ao seu contexto.
Aqui está uma visão geral das cinco principais práticas recomendadas que certamente ajudarão os profissionais de segurança da informação a criar uma cultura de segurança cibernética em toda a organização.
1. Comece na administração e torne a segurança pertinente
O primeiro passo para criar com sucesso uma cultura de segurança em toda a empresa é obter a adesão da alta administração. Os profissionais de segurança devem entender e se alinhar à estratégia de negócios e, em seguida, identificar os riscos associados a essa estratégia e comunicar adequadamente esses riscos em termos de negócios aos diretores da empresa.
Uma vez que os executivos entendam qual é o risco e qual é a tarefa, eles podem seguir adiante e apoiá-lo.
2. Torne o processo centrado no ser humano: entenda os seus usuários
Isso significa conversar e analisar as partes interessadas, entendendo seus comportamentos e desafios e descobrindo o que precisa ser mudado e como implementar essa mudança.
Então, com base nisso... você cria suas iniciativas de cultura de segurança para cada uma dessas comunidades de partes interessadas.
3. Torne o treinamento de conscientização de segurança divertido e recompensador
Você precisa educar todos sobre segurança cibernética, mas deve torná-la relevante para eles.
A base de qualquer cultura de segurança é um sólido programa de treinamento e conscientização. Construir uma cultura de segurança cibernética precisa ser um esporte de equipe. Tornar o treinamento de conscientização de segurança divertido e recompensador e incentivar uma "mentalidade de crescimento" - ou seja, uma abertura para aprender e experimentar coisas novas - são essenciais para o sucesso.
Investir na educação do usuário de boa qualidade e bem executada é absolutamente vital. Se os usuários forem bem treinados do ponto de vista 'se você vir algo, diga algo' no reino cibernético, eles podem ser um ativo incrivelmente valioso na defesa da sua empresa.
No entanto, é importante que a cultura seja colaborativa e positiva e se afaste de uma cultura de culpa e medo.
4. Invista nas ferramentas de segurança certas e desenvolva talentos em segurança
As ferramentas de segurança são parte integrante de uma defesa em camadas, mas não são a resposta universal para ataques cibernéticos.
No entanto, um complemento bem pensado de ferramentas de segurança cibernética pode aumentar o "fator humano" da segurança cibernética.
Investir na solução de Conscientização e Treinamento em Segurança é fundamental para “nivelar o conhecimento de todos os colaboradores e garantir que eles fiquem alertas.
No entanto, é importante lembrar que, à medida que a tecnologia evolui e os ataques cibernéticos aumentaram, a escassez de habilidades de segurança cibernética só piora. É imperativo recrutar, treinar e reter talentos cibernéticos de uma ampla variedade de origens para manter a vantagem.
5. Crie um canal interno para que as pessoas denunciem
Crie um canal que todos os funcionários possam usar para relatar incidentes diretamente ao profissional de TI designado ou à equipe de resposta a incidentes.
Pode ser um canal como Slack, Teams ou até mesmo e-mail. Certifique-se de que os tópicos de segurança cibernética sejam categorizados com uma tag e priorizados.
6. Mensure a sua conscientização e cultura de segurança
“O que pode ser medido pode ser melhorado”
Peter Drucker
Métricas de simulação
A execução de simulações de ataques a funcionários é essencial para medir a vulnerabilidade deles:
Cliques em links de phishing: Quantos funcionários clicaram em links de phishing como parte de um treinamento prático de phishing
Fornecimento de Dados: Quantos funcionários inseriram seu login e senha em uma página de simulação? Isso mede efetivamente quantos funcionários “entregariam o seu email para um atacante”
Métricas de Aprendizagem
Conclusão do curso: O número de pessoas que assistiram a módulos de e-learning e cursos finalizados
Certificados: Os funcionários têm os certificados certos? Quando eles expiram/precisam ser renovados?
Métricas de Relatos
Denuncias: Quantos funcionários relataram phishing através dos canais oficiais?