Início
Início
Solicite uma demonstração

Seis maneiras de aumentar o envolvimento dos funcionários na formação em segurança

Partilhar
  • Christopher Dale, Gestor de Marketing de Conteúdos, Divisão Empresarial da ThriveDX

Neste momento, a maioria de nós compreende que os empregados são o elo mais fraco da cibersegurança e o maior vector de ataque - aqueles criminosos em linha estão a visar pessoas específicas dentro de organizações com acesso a dados sensíveis - em vez das tradicionais defesas de perímetro. No entanto, o crescente envolvimento dos funcionários tanto na formação de sensibilização para a segurança como na formação em segurança de aplicações (AppSec) ainda se encontra demasiadas vezes com o arrastar dos pés, a procrastinação, e os eyerolls colectivos - quando é mesmo oferecido. 

Em 2021, as empresas perderam um espantoso montante de 7 mil milhões de dólares devido a ciberataques e ameaças internas. Como é habitual, estas violações podem ser rastreadas até um único empregado - geralmente involuntariamente - clicando no e-mail malicioso e introduzindo uma torrente de cavalos de Tróia na sua empresa. 

Seis maneiras de aumentar o envolvimento dos funcionários na formação em segurança

Seis maneiras de aumentar o envolvimento dos funcionários na formação em segurança

Em 2021 o Centro de Reclamações sobre Crimes na Internet (IC3) do FBI apresentou um recorde de 847.376 reclamações - um aumento de 7 por cento a partir de 2020. As perdas potenciais excederam os 6,9 mil milhões de dólares. Mais uma vez, os ataques de resgate e de compromisso de correio electrónico comercial (BEC) lideraram o caminho. Pela primeira vez, o uso criminoso da moeda criptográfica juntou-se aos três principais incidentes relatados. Só os esquemas BEC resultaram em 19.954 queixas, totalizando 2,4 mil milhões de dólares. 

Isto suscita a questão: Como pode algo tão potencialmente dispendioso para as empresas não ter maior urgência dentro das organizações? Porque é que tantos estão a dar cabo de tudo, ou a ser pouco sérios quando se trata de implementar formação em segurança? 

1. Fazer com que seja importante, Fazer com que seja acreditável

Alguma versão de "isto é foleiro", "já sabemos isto" e "nada do que aconteceria na vida real" foi ouvida algures durante o treino de segurança. Embora a maioria dos empregados compreenda que são o elo fraco cibernético, nem todos os empregados sabem o que fazer com esta informação. Ouviram muitos receios, mas muito menos soluções. Diga-lhes o que eles ainda não sabem. Comuniquem algo de valor. Em vez de semearem o medo, a incerteza e a dúvida, pratiquem empatia e compreensão pela posição em que se encontram e mostrem visão para o que provavelmente irão encontrar. 

Por outras palavras, torne a sua formação de sensibilização para a segurança credível e inspirada por ataques da vida real. Use páginas da web reais que provavelmente irão atravessar nos seus exemplos. Os ataques de injecção SQL não acontecem em páginas de login, mas podem acontecer em páginas de checkout. São ainda mais prováveis de acontecer em locais aleatórios, semi-arquosos. Use estes como exemplos, para que o seu público saiba que sabe do que está a falar. Ensine-os a identificar, desactivar e colocar em quarentena os ataques antes que se tornem problemas dispendiosos.

Por exemplo, a ThriveDX adquiriu recentemente a Kontra , que fornece formação em segurança de aplicações destinada directamente aos programadores. Enquanto que normalmente os programadores encontram bugs e os reportam, a Kontra ensina-os, em vez disso, como identificar e corrigir vulnerabilidades de segurança e outros bugs em tempo real, poupando quatro ou mais semanas na próxima revisão.

2. Praticar a candura radical

Reconhecer antecipadamente que a formação em segurança não é a primeira escolha de ninguém na gestão do tempo. Nós percebemos. Ao mesmo tempo, as pessoas geralmente concordam que ter emprego é uma coisa boa. Se uma empresa for vítima de um resgate, o descuido de uma pessoa pode acabar por custar a dezenas de pessoas as suas carreiras, se não o próprio negócio. Portanto, é claro que a formação de sensibilização para a cibersegurança e a formação AppSec vão ser obrigatórias. Vamos aproveitá-la ao máximo, vamos?

3. Tamanho Único Não Cabe Tudo

Nem todos os empregados são iguais. Alguns são mais propensos a serem atacados do que outros. Reconhecendo de antemão que esta verdade básica deve aumentar o envolvimento dos funcionários. Especificamente, as pessoas com acesso privilegiado a dados sensíveis são muito mais bem recebidas para serem alvo de ataques. A sua formação deve ser responsável por estes riscos humanos acrescidos, separando-os do grupo e acompanhando-os através dos cenários mais prováveis que possam encontrar.

4. Aperte-o

Porquê passar 20 minutos a fazer um ponto que pode transmitir em cinco? As pessoas são mais espertas do que se pensa. Abordam o treino como se não fosse o seu primeiro dia com um computador e uma ligação à Internet. Neste momento, a maioria das pessoas já tem uma compreensão geral das ameaças que as esperam depois de tomarem decisões online. O que elas não têm é muito tempo.

Gyan Chawdhary é fundador e CEO da Kontra, a que chama Formação em Segurança de Aplicações por programadores, para programadores. "Ninguém tem tempo para formação em segurança...muito menos os programadores", disse Chawdhary. "É por isso que um dos nossos principais diferenciadores é que cada parte da nossa formação dura cinco minutos, no máximo".

5. Contar uma história

Além de mostrar um ataque e a forma de o reparar, incluir uma narrativa. Contar uma história interactiva de ataques da vida real. Muitos devs têm curiosidade em saber como os atacantes encontraram este insecto em primeiro lugar. Que ferramentas utilizaram? Que código procuravam? Como é que esta vulnerabilidade de segurança veio a ser descoberta? Kontra mostra-lhes esta história e acompanha-os através dos passos a partir da perspectiva de um cibercriminoso. Mostra-lhes os truques de um hacker. Faz o quadrado desse círculo, e segue-se um bom código.

6. Dimensione o seu conteúdo integrando c/ outro software LMS

Com demasiada frequência, tanto a formação de sensibilização para a segurança como a formação em segurança de aplicações são cursos autónomos sentados fora do Software de Gestão de Aprendizagem (LMS) de uma empresa. Isto significa efectivamente que se pode atribuir formação sem impor qualquer cumprimento. Se os programadores estão a escrever código enquanto a Formação AppSec é executada em segundo plano, como saberá, e o que poderá mesmo fazer em relação a isso? 

O outro problema é que muitas vezes a formação em segurança obrigará as empresas a adoptar os seus sistemas LMS, a fim de dar às empresas visibilidade à conformidade dos empregados. Isto apresenta vários problemas. Em primeiro lugar, porque é que um programador quereria entrar em mais um sistema para além do seu próprio LMS para completar a formação? Isto também se deve ao facto de muitos sistemas LMS empresariais serem muito mais sofisticados e complexos do que tudo o que é oferecido pela formação em segurança cibernética. Embora uma organização possa ganhar algumas capacidades de aplicação e conformidade, eles irão mais do que perder em funcionalidade geral.

Uma palavra final sobre o aumento do envolvimento

Não há bala de prata para levar todos ao nível de peritos no combate à actual paisagem de ameaças. No fim de contas, o que se resume ao quanto as organizações valorizam uma força de trabalho de segurança e se esforçam por implementar as dicas acima referidas. Tornar o conteúdo mais curto, mais relevante e mais personalizado deverá aumentar significativamente o envolvimento dos funcionários na formação de segurança - em última análise, poupar dinheiro à empresa sob a forma de ataques que nunca aconteceram. Quem sabe, poderá até descobrir funcionários qualificados para adicionar à sua equipa de segurança. 

Para mais informações sobre os programas de formação em segurança empresarial da ThriveDX, por favor visite-nos em https://thrivedx.com

Formação em Competências Digitais e Soluções EdTech | ThriveDX

Tipos de Quebra de Dados

Christopher Dale é o gestor de marketing de conteúdo da Divisão Empresarial da ThriveDX. Trabalhou no campo da ciber-segurança durante quase 14 anos em RP, redes sociais e funções de desenvolvimento de conteúdos para uma série de empresas, incluindo ESET, Forcepoint, Cylance (Blackberry) e Proofpoint. É licenciado em Ciência Política e Retórica e Comunicação pela Universidade da Califórnia, Davis. 

Proteja a sua Organização contra Phishing

solicitar uma demonstração
Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo