Emails de Phishing: Como prevenir a ameaça cibernética nº 1
Os e-mails de phishing se tornaram a ameaça cibernética nº 1 nos últimos anos, aprenda aqui como se proteger.
As atitudes negativas dos funcionários em relação à segurança da informação são perigosas e devem ser eliminadas.
As atitudes negativas dos funcionários em relação à segurança cibernética são perigosas e devem ser eliminadas. Felizmente, os profissionais de segurança cibernética entendem isso e muitos estão trabalhando para mudar esta realidade. Essa é a única forma de proteger o seu negócio com a ajuda dos seus colaboradores. Mas se o treinamento de segurança cibernética não for percebido como positivo e significativo, os colaboradores não terão interesse em participar.
Como engajar seus colaboradores positivamente com a segurança cibernética?
O primeiro passo é mudar a mentalidade negativa com relação a esse assunto. O "negativo" é sempre objeto de treinamento em segurança da informação e tradicionalmente, as equipes de segurança cibernética são retratadas de forma negativa. Pergunte a um colaborador comum, se ele gostaria de um vídeo de 30 minutos explicando por que a segurança cibernética é tão importante ou se ele gosta de ler documentos longos e páginas da intranet sobre regras de segurança cibernética sobre o que fazer, especialmente o que não fazer. A partir daí, coloque-se no lugar deles. Você quer se concentrar em um tópico que não lhe interessa? Eu acho que você sabe a resposta.
Não é difícil ver por que a equipe de segurança fica com uma reputação tão ruim quando diz aos colaboradores para usar esse conteúdo longo e assustador.
Algo importante para fazer: Rejeitar a cultura…
Precisamos mudar a cultura do “não” da segurança cibernética. Na educação, muitas vezes nos dizem "não faça isso" ou "não faça isso".
Imagine alguém sempre dizendo algo que você não deve fazer. Você não ficaria frustrado? Recentemente, Petri Kuivala, ex-CISO da Nokia e Microsoft e atual CISO da NXP, expressou isso muito bem em um webinar. Ele disse que você pode alcançar o completo oposto do efeito desejado se disser “não” para os seus filhos todas as vezes.
Em algum momento, eles começarão a se rebelar e, sem dúvida, tentarão testar seus limites. Seus funcionários não estão tentando testar seus limites exatamente da mesma maneira, mas como você garante que eles se preocupam o suficiente com segurança para apoiar sua missão? Você precisa mudar a atitude e o comportamento das pessoas em relação à segurança da informação. Para isso, um bom ponto de partida pode ser adaptar e criar uma cultura positiva de segurança cibernética em sua empresa. Você quer lutar contra os invasores, mas sem a presença de seu pessoal, você ainda perderá a batalha contra eles.
Pense positivamente sobre a cultura e a educação de segurança cibernética
Existem inúmeros artigos sobre como criar uma cultura de segurança cibernética positiva. No entanto, eles geralmente se concentram na equipe de segurança e esquecem de se concentrar na função principal dos funcionários. A defesa técnica é, obviamente, a preocupação da equipe de segurança.
Mas a redução do risco humano vem das ações dos funcionários. Se você deseja criar uma cultura positiva, precisa envolver seus funcionários em sua missão. Há várias etapas que você pode seguir para começar a se preparar para a mediação. É realmente para centralizar a equipe. Vamos dar uma olhada mais de perto em cada um. 1. Forneça conteúdo excelente e treinamento prático.
Em vez de ser forçado a uma segurança cibernética longa e chata, comece pensando seriamente no que seus funcionários desejam. O conteúdo pode ser mais interativo? Que tal enviar uma ameaça falsa para atacar diretamente seus funcionários? Remova a cultura do "não". Em vez de dizer a seus funcionários o que não fazer, ensine sua equipe a fazer as coisas certas que valem a pena fazer. Deixe seus funcionários saberem quais ações podem ser tomadas e dê a eles as ferramentas necessárias para isso.
Torne a segurança cibernética divertida e envolvente.
Essa é uma ótima maneira de incentivar as pessoas a participar do treinamento de segurança cibernética. Além disso, os funcionários veem um treinamento mais positivo quando se trata de entretenimento. Também ajuda os funcionários a se envolverem. Não quero treinar minha equipe uma ou duas vezes por ano. Isso não é sustentável no futuro porque trará mudanças culturais. Você deseja que eles continuem participando do seu treinamento e deseja que o maior número possível de funcionários participe do seu treinamento. Quanto maior o esforço, menos tempo leva para a equipe de segurança corrigir a vulnerabilidade à medida que a organização repele o ataque com sucesso.
Não puna os colaboradores.
Crie um lugar seguro onde você não será punido por se exercitar. Em vez disso, crie um ambiente onde os funcionários possam aprender com seus erros por meio de melhorias positivas. Os funcionários que cometem erros de segurança cibernética geralmente ocorrem porque a equipe de segurança não fornece treinamento, conhecimento ou ferramentas adequados. A cultura da culpa é tóxica, então você precisa se educar a longo prazo para gerenciar melhor seu risco.
Recompense aqueles que fazem a coisa certa.
As pessoas precisam falhar primeiro em um ambiente seguro, e você descobrirá que elas precisam de mais prática apropriada ao seu nível. Desta forma, eles melhoram suas habilidades e conhecimentos. Você pode usar essa abordagem positiva de microaprendizagem para incorporar o treinamento aos dias de trabalho de seus funcionários e melhorar suas habilidades para encontrar e-mails perigosos. Devemos ter como objetivo fornecer treinamento significativo e útil aos nossos funcionários. Isso pode motivar os funcionários.
Simule ameaças para dar aos funcionários experiência prática.
Você tem que ir além do treinamento tradicional de conscientização. O conhecimento teórico não é suficiente. Quando os funcionários recebem regularmente ameaças falsas, eles são lembrados e alertados sobre ameaças iminentes. Com mais prática e menos tempo de prática, você pode obter melhores resultados em termos de engajamento e taxa de erro.
Explique a importância do treinamento para os funcionários.
Não é aconselhável enviar um ataque falso sem notificar os funcionários. Isso pode fazê-los sentir que você está tentando emboscá-los. Informe seus funcionários por que eles estão enviando simulações de ataque e como treiná-los para relatar ameaças reais. Também relatamos como o treinamento de e-mail da vida real e o envolvimento no monitoramento eficaz aprimoram as defesas cibernéticas em toda a organização.
Transforme seu programa de treinamento em segurança cibernética em um jogo.
Criar uma cultura positiva em torno do treinamento em segurança cibernética por meio da motivação é uma abordagem que algumas empresas de treinamento de segurança adotaram ao longo dos anos. Alguns funcionários podem ser altamente competitivos e serão motivados por uma abordagem que os recompense por sua participação ou realização.
O impacto de uma cultura de cibersegurança positiva
Os benefícios de uma cultura de segurança cibernética positiva são infinitos. Ele transforma a aversão de seus funcionários ao treinamento chato de segurança cibernética em uma paixão por proteger coletivamente sua organização dos bandidos. Assim que seus funcionários estiverem envolvidos, você poderá enviar simulações mais complexas. Seu objetivo é fazer com que as pessoas denunciem as ameaças reais que recebem dos invasores. Como resultado, você tem uma camada adicional de defesa em cima de suas defesas técnicas existentes. Além disso, as equipes de segurança obtêm visibilidade das ameaças por meio de relatórios de funcionários para que possam responder mais rapidamente às campanhas de ataque recebidas. Com o treinamento certo e uma cultura positiva, você pode ter certeza de que seus funcionários tomarão as decisões certas se houver algo suspeito em sua caixa de entrada. Agora, vamos promover uma cultura de segurança cibernética positiva, lembrando que somos todos humanos e podemos cometer erros.