Analise as últimas manchetes em busca de histórias sobre violações e rapidamente ficará claro por que os líderes estão preocupados com a postura de segurança de suas organizações. Um estudo recente da Fortinet mostra que quase 90% das empresas violaram uma ou mais leis no ano passado, e 67% dos líderes dizem que a falta de sensibilização para a segurança dos funcionários contribuiu para esses incidentes.
Ao mesmo tempo, os cibercriminosos estão a aumentar as apostas à medida que aumentam o volume e a velocidade das ameaças que implantam, com os líderes preocupados com o facto de estas tácticas de ataque emergentes, especialmente aquelas que envolvem IA, serem mais difíceis de detectar e prevenir do que as tácticas de ataque “convencionais”. ataques. . Uma escassez persistente de competências também continua a atormentar as empresas, uma vez que muitas equipas de segurança e de TI carecem do pessoal e das competências necessárias para proteger a sua organização.
À medida que as organizações navegam por essas complexidades, elas devem adotar uma abordagem prática em relação à segurança. É por isso que a sensibilização e a formação em segurança são componentes fundamentais de qualquer estratégia sólida de gestão de riscos. Há considerações importantes a serem lembradas ao implementar novos programas de treinamento ou revisar programas existentes.
A cibersegurança é tarefa de todos
No ano passado, 80% das organizações sofreram ataques de malware, phishing e web, todos direcionados diretamente aos usuários. Esta visão sublinha a importância de construir uma força de trabalho consciente do ciberespaço. Uma equipe de profissionais qualificados e a tecnologia de segurança certa são importantes, mas sua primeira linha de defesa contra o crime cibernético são seus funcionários.
É encorajador ver mais líderes priorizando a educação em segurança em seus negócios. De acordo com o Relatório de Pesquisa Global de Conscientização e Treinamento em Segurança 2024 da Fortinet, 97% dos gerentes acreditam que mais treinamento e conscientização podem ajudar a reduzir ataques cibernéticos, contra 93% no ano passado. Dos gestores cujas organizações já possuem um programa de formação e sensibilização em segurança, 89% relataram uma melhoria na sua postura de segurança após a implementação destes programas.
Estes são elementos importantes de qualquer programa de conscientização e treinamento de segurança
Desenvolver e gerenciar um programa de conscientização e treinamento em segurança não é uma tarefa fácil, mas a consideração e o planejamento cuidadosos podem fortalecer enormemente seus esforços abrangentes de segurança. Para maximizar a eficácia e a participação do programa, os líderes devem discutir e alinhar a visão e os objetivos do programa, o formato do treinamento, o cronograma de entrega e o conteúdo.
Explique a visão e os objetivos do programa
A pesquisa mostra que os funcionários estão abertos a oportunidades de conscientização e treinamento em segurança cibernética. A maioria dos líderes (86%) afirma que seus funcionários veem bem a conscientização e o treinamento em segurança, com 55% dizendo “muito bem”.
Embora esta adoção seja uma boa notícia, vários fatores podem fazer (ou quebrar) programas de conscientização e treinamento em segurança, independentemente de quão abertos os funcionários estejam à ideia. Muitos líderes acreditam erroneamente que a introdução de um programa de conscientização sobre segurança mudará automaticamente o comportamento do usuário. A gestão precisa esclarecer e comunicar a visão e os objetivos do programa, repeti-los com frequência, e essas informações precisam vir de mais do que apenas o seu CISO. Quando os líderes de toda a empresa apoiam fortemente a conscientização e o treinamento em segurança, as organizações podem observar melhorias significativas ou significativas após a implementação. Mais de 90% dos entrevistados que afirmaram ter apoio “amplo” da liderança relataram algum progresso ou progresso significativo após a introdução do programa.
Escolha o formato de treinamento e o cronograma de entrega corretos
A sensibilização e a formação em segurança devem ser deliberadas e inclusivas; o formato e o cronograma de entrega que você escolher afetarão o sucesso do seu programa. Como prova de que a sensibilização e a formação em segurança são uma actividade simples e bem considerada em muitas organizações, 75% dos inquiridos afirmam que planeiam as suas campanhas com antecedência, e uma média de três horas de formação por ano é considerada suficiente. Oitenta e um por cento (81%) das organizações realizam conscientização de segurança e treinamento de funcionários mensal ou trimestralmente. Isso geralmente oferece oportunidades de atualização e atualização, bem como novos treinamentos sobre ameaças emergentes e tópicos específicos do setor.
Incluir conteúdo envolvente
Embora a maioria das organizações esteja satisfeita com o seu serviço atual de conscientização e treinamento em segurança, aquelas que são específicas ou insatisfeitas citam a falta de conteúdo envolvente (41%) como o principal motivo. Seu programa de conscientização e treinamento em segurança deve ser exclusivo para sua empresa e incluir conteúdo relevante para as necessidades do negócio. No entanto, determinados conhecimentos sobre segurança cibernética devem ser incluídos em todos os esforços de formação. Todos os sistemas devem abordar as principais áreas de preocupação, como ataques de phishing, ransomware, engenharia social, trabalho remoto, senhas e autenticação e muito mais.
Medir (e reavaliar) os esforços de conscientização e treinamento em segurança
As medidas de formação em segurança desempenham um papel de liderança na luta contra a cibercriminalidade. Os esforços relacionados ajudam os líderes de TI, segurança e conformidade a construir uma cultura de consciência cibernética, dando aos funcionários o conhecimento necessário para reconhecerem e evitarem se tornarem vítimas de ataques.
Se você já possui um plano, revise o conteúdo e os métodos de entrega periodicamente para garantir que está abordando os tópicos certos e evoluindo o esforço para atender às novas necessidades da organização. Se você ainda não implementou treinamento e conscientização sobre segurança em toda a empresa, considere se deseja desenvolvê-lo internamente ou trabalhar com um fornecedor. Existem ofertas de alta qualidade baseadas em SaaS disponíveis que oferecem um currículo abrangente e oportuno. Procure ferramentas de treinamento que combinem monitoramento de campanhas e atividades com relatórios fáceis de usar, uma interface de controle e a capacidade de personalizar ou integrar um produto.
O cenário de ameaças se intensificará no futuro, tornando importante que cada indivíduo ajude a prevenir violações. Envolver toda a organização nos esforços de segurança cibernética beneficia a todos.
