Início
Início
Solicite uma demonstração

Os Quatro Pilares da Sensibilização para a Ciber-Segurança

Partilhar
  • Palo Stacho - Co-Fundador da Lucy Security, adquirida pela Divisão Empresarial da ThriveDX

95 por cento dos ataques online bem sucedidos contra organizações requerem ou a participação involuntária ou propositada dos empregados dessa organização (na maioria das vezes, eles são participantes involuntários / pouco dispostos em algo que nem sequer sabem que está a acontecer). 

Este artigo descreve o que precisa de ser feito para garantir o comportamento dos empregados. Além disso, estabelece os quatro (4) pilares dos critérios de sucesso de um tal plano. Afinal, se não podemos medir a eficácia de um programa, como sabemos se ele funciona?

Os quatro pilares da consciência da ciber-segurança

Sensibilização NÃO é (apenas) formação

Muitas empresas pensam que as medidas de sensibilização para a segurança informática são medidas de formação em segurança informática. No entanto, isto não é inteiramente exacto. Já há 25 anos, o NIST declarou o seguinte princípio, que ainda hoje se aplica: 

"Awareness não é apenas formação. O objectivo das apresentações de sensibilização é simplesmente chamar a atenção para a segurança".

Trata-se, portanto, de um comportamento fundamentalmente seguro por parte de todos os funcionários de uma organização! 

Então como é posta em prática a Cybersecurity Awareness? Com base numa combinação de centenas de projectos de sensibilização no ThriveDX, juntamente com a análise de dados de um estudo globalConseguimos obter as melhores práticas de sensibilização para a ciber-segurança. A capacidade de resposta sustentável dos funcionários e o comportamento cada vez mais seguro dos funcionários ao lidarem com a Internet e o correio electrónico é melhor conseguida com a ajuda de:

 

  1. Simulações de ataque
  2. Formação em segurança informática
  3. Um 'botão de relatório de phishing' e com
  4. Avaliação das infra-estruturas do computador do local de trabalho

Simulações de Ataque

Tais simulações, muitas vezes também chamadas phishing, smishing e vishing são a forma mais eficaz de aumentar a consciência dos riscos cibernéticos. A grande vantagem de tais campanhas de simulação é a sua natureza realista. No entanto, deve ter-se o cuidado de, por exemplo, os emails de uma simulação de phishing serem adaptados ao contexto da organização e serem também escritos na "linguagem da empresa". Alguns simples cenários de phishing ou smishing à la 'We give you a tablet for free' não são alvo de atenção por parte da maioria dos empregados actualmente. Por outro lado, as tentativas de phishing devem permanecer sempre reconhecíveis como tal. Descobrimos que as sofisticadas campanhas de phishing que ludibriaram muitos empregados podem ter "momentos ensináveis" mas, de outra forma, correm o risco de serem demasiado espertos por metade e geralmente contraproducentes.

Formação em Segurança Informática

Mesmo que a formação em segurança informática apresente menos situações "reais" e seja portanto menos eficaz, o valor deste módulo de formação no mercado é indiscutível. Ele constrói e reforça os conhecimentos teóricos dos empregados. Os diplomas de formação servem como prova de formação e também podem ser utilizados para avaliações individuais de aprendizagem. Isto é particularmente útil no espaço jurídico da GDPR, onde as simulações de ataque são frequentemente conduzidas de forma anónima, não implicando nenhum indivíduo. Como as vítimas não são reveladas, não se podem tirar conclusões sobre o indivíduo.

O Botão 'Phishing Report

Os chamados botões phish são uma ferramenta de segurança informática simples mas incrivelmente eficaz. Em essência, proporcionam aos empregados um botão "um só toque" eficiente para denunciar e-mails suspeitos. . Estes são posteriormente analisados pela equipa Infosec e o funcionário recebe uma resposta sobre a criticalidade da mensagem comunicada. Isto encoraja o envolvimento individual, activando a "firewall humana". O departamento de TI beneficia de relatórios qualificados de e-mails suspeitos, enquanto os funcionários mais fracos ganham muito mais segurança no seu trabalho diário. É importante que o funcionário receba uma resposta às suas mensagens. Se isto não acontecer, então o empenho e dedicação dos funcionários afrouxa.

Avaliações de Infra-estruturas de Computadores de Trabalho

A consciência da cibersegurança não é apenas sobre a pessoa, mas também sobre o seu computador do local de trabalho. Se quiser ter uma visão de 360° sobre a consciência e segurança dos empregados, simulações de malware, filtros de correio e testes de filtros web no computador do empregado, faz sentido. Uma simulação de malware responde a perguntas do administrador do sistema como "até que ponto pode um ataque de resgate de software chegar ao computador possivelmente infectado e à rede da empresa". Desta forma, as vulnerabilidades podem ser detectadas e fechadas/mitigadas. O teste de filtro de correio e web responde à pergunta do administrador 'Que anexos de correio electrónico passam através dos filtros de segurança da empresa? Também aqui, as exposições ao risco podem ser melhor identificadas. Com base nestas descobertas, é também possível realizar simulações de phishing com base em ficheiros com as mesmas extensões de ficheiros, a fim de reduzir o risco através da formação do pessoal alvo.

Situação da Implementação de Medidas de Sensibilização para a Segurança Cibernética na Prática

Num amplo estudo, cerca de 1900 especialistas foram inquiridos sobre a utilização de medidas de sensibilização em 2022. Este estudo revela que as simulações de ataque - especialmente as simulações de phishing - apanharam o comboio da consciencialização. Os botões de incidentes de phishing foram utilizados por menos de metade dos inquiridos e a utilização de avaliações de infra-estruturas não é facilmente visível.

Em conclusão,se quiser conduzir uma consciência holística de cibersegurança, tem de confiar nas simulações de ataque dos 4 pilares, nos treinos de segurança informática, no botão de phishing e nas avaliações de infra-estruturas!

 

Na ThriveDX, ajudamo-lo a re-habilitar os empregados para acrescentar as despesas economizadas de volta ao seu resultado final. Se estiver interessado em saber mais sobre como as soluções ThriveDX podem ser personalizadas para o seu negócio, teremos todo o prazer em discutir em mais pormenor.

Melhor Formação de Sensibilização de Segurança para os Funcionários: Guia de E-Learning

Palo Stacho tem sido um empresário, orador público e líder de pensamento na indústria das TI. Possui um Diploma Federal Suíço em Informática e uma pós-graduação em Governação Empresarial do HSG. Depois de passar vários anos a trabalhar em cibersegurança, Palo juntou-se à Lucy Security como Co-Fundador para ajudar a construir a empresa em 2015. Como gestor de projectos e consultor de soluções, Palo tem experiência de dezenas de projectos de sensibilização para a cibersegurança, seja na Lufthansa, Bosch, Mobiliar Insurance, OMV, Swisscom e muito mais. Em 2022, a Lucy Security foi adquirida pela Divisão Empresarial da ThriveDX e permaneceu como Consultora da empresa.

Proteja a sua Organização contra Phishing

solicitar uma demonstração
Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo