5 fatos que você talvez não saiba sobre conscientização em segurança

Perry Carpenter,  Chief Evangelist and Strategy Officer da KnowBe4 – texto original em inglês pode ser acessado aqui

Vou começar com uma observação: o senso-comum sobre treinamentos e conscientização de segurança está repleto de suposições e conceitos errôneos. Como efeito colateral, os líderes de segurança geralmente sentem que seus programas são ineficazes e que treinar humanos é uma causa perdida.

Essas conclusões não poderiam estar mais erradas. O que eu vi – repetidas vezes – é que treinar humanos não é uma causa perdida; de fato, sua equipe é sua última linha de defesa quando todas as outras camadas de segurança baseadas em tecnologia falham.

Então, de onde vem essa falta de conexão? Estou feliz que você tenha perguntado. Eu acho que há cinco fatos que muitos líderes de segurança e TI não percebem quando se trata de conscientização sobre segurança. Vamos dedicar alguns momentos para explorar isso. (Na verdade, eu lancei um livro inteiro sobre como criar programas eficazes de conscientização voltados para promover comportamentos seguros dos colaboradores. Se você estiver interessado, Transformational Security Awareness: o que neurocientistas, contadores de histórias e profissionais de marketing podem nos ensinar sobre como conduzir comportamentos seguros).

1. A lacuna conhecimento-intenção-comportamento

Muitos programas tradicionais de conscientização em segurança falham ao explicar o que eu chamo de lacuna conhecimento-intenção-comportamento. Em termos simples, as informações por si só não levam à mudança de comportamento. Nem levam a cuidados ou a intenção de agir com cautela no que diz respeito aos dados pessoais. E mesmo quando alguém se importa e pretende agir com base nas informações recebidas, não há garantia de que elas agirão como tal no momento do comportamento.

Essa lacuna existe porque muitas informações competem por nossa atenção e guiam nosso comportamento. E assim podemos agir de maneiras que opostas ao nosso conhecimento e/ou intenções. Se você precisa se convencer, pense na última vez em que tentou manter uma lista de resoluções para o ano novo. Você listou ações que sabia que eram importantes. E você pretendia agir de maneira diferente com base nesse conhecimento. Mas é muito provável que o comportamento não surtiu efeito! Não estou tentando envergonhá-lo, quero apenas para trazer à tona a realidade da situação.

Levando em consideração a lacuna conhecimento-intenção-comportamento, você pode perceber três realidades da conscientização em segurança:

  • Só porque estou ciente não significa que me importo.
  • Se você tentar trabalhar contra a natureza humana, irá falhar.
  • O que seus colaboradores fazem é muito mais importante do que eles sabem.

Posso garantir que, se seu programa de conscientização em segurança se ajustar a essas realidades, você começará a ver resultados.

2. O conteúdo que você compartilha é seu rosto e sua reputação

Como líder de segurança, seu conteúdo é sua marca. Vamos ser sinceros: se você estiver em uma organização grande, não há como ter tempo para conhecer todos e permitir que eles o conheçam. E assim, você será conhecido e julgado pela qualidade e capacidade de engajar seus colaboradores com os materiais que você encaminha para todos.

Os materiais e a metodologia do programa de conscientização em segurança influenciarão muito a maneira como o restante da organização o vê e como interagem com você e sua equipe. Isso significa que seu conteúdo e os sistemas que você envia para as pessoas precisam ser tão bons ou melhores que qualquer outro conteúdo com a qual eles interagem. Se você optar por um conteúdo de conscientização em segurança abaixo do padrão, seu pessoal sentirá que a segurança (consequentemente) não é importante e que você é irrelevante e de difícil acesso. Um conteúdo relevante, que se relaciona com o contexto da sua organização e com qualidade comprovada ajudará a criar um senso de conexão e comunidade com sua força de trabalho.

3. É comprovado que o treinamento constante traz benefícios consideráveis para a resiliência da sua organização

Chamo sua atenção para dois ótimos relatórios. Primeiro, meu amigo Javvad Malik fez uma análise de 100 relatórios de ameaças, em setores diferentes, em busca das causas mais comuns de violações de dados. Suas descobertas estão disponíveis aqui, mas eu vou direto ao ponto: as duas causas mais comuns de violação de dados são 1) erro humano/engenharia social e 2) software sem patch.

Se o erro humano, logo a vítima de golpes de engenharia social, é a principal razão pela qual as organizações são violadas, então o que precisamos fazer? Treinamentos de conscientização em segurança! E a boa notícia é que esse tipo de ação, que inclui realizar ataques simulados de engenharia social e phishing, é um método comprovado para reduzir a vulnerabilidade de um colaborador ao phishing. Não acredita em mim? Aqui estão os dados. 🙂

Treinamentos associados a ataques simulados de phishing a cada 30 dias, pelo menos, aumentarão drasticamente a resiliência de uma organização frente aos ataques de engenharia social. Há anos acompanhamos organizações que nunca realizaram testes de phishing começarem suas ações com o nível de risco próximo a 30%. Após 3 meses de treinamento, esse percentual diminui pela metade. E, depois de 12 meses, esse percentual cai para cerca de 2%.

E, a propósito, acabei de receber nossos números atualizados, cobrindo cerca de 36 milhões de contas de e-mail, e as tendências são verdadeiras. Fique atento a um relatório com os dados atualizados.

4. Você está sempre fortalecendo ou permitindo atrofia

A conscientização em segurança tem tudo a ver com construir força e memória motora. A única maneira de obter resultados consistentes, que ajudarão a interromper a engenharia social e os erros dos colaboradores, é através de treinamento frequente.

O equivalente físico a isso é frequentar a academia. Você não entra em forma fazendo exercícios uma vez ao ano. E você também sabe que se exercitar uma vez por trimestre, não trará resultados. A única maneira de criar mudanças a longo prazo é fazer da academia parte do seu estilo de vida. É por isso que os programas tradicionais de conscientização em segurança dão errado, por que as organizações criam uma lista de tarefas e não dão continuidade a certos comportamentos. Eles implementam programas equivalentes a ir à academia uma vez por ano.

Mudança duradoura requer compromisso constante. Se você parar de treinar, regride. Da mesma forma que, se você parar de se exercitar, seus músculos irão se atrofiar, os padrões de consciência e de comportamento relacionados à segurança das informações passarão da ordem para o caos caso os treinamentos não sejam reforçados. Essa é a física da situação; como em todas as coisas, a lei da entropia é válida.

5. Você provavelmente está medindo a informação de maneira equivocada

Muitas organizações medem o sucesso de seus programas de conscientização contando o número de colaboradores que concluíram o treinamento. Ou eles analisam as pontuações médias dos testes pós-treinamento. Ou eles contam visualizações de página para seus relatórios e assim por diante. Embora esses números possam ser interessantes, pois são um indicador de envolvimento e alcance, eles não dizem nada sobre o que realmente importa. Especificamente, eles não medem se os colaboradores adotaram comportamentos mais seguros.

Então, como você mede isso? Uma das métricas de comportamento mais fáceis que você pode coletar está relacionada à vigilância de seus colaboradores contra ataques de phishing. Essa é a porcentagem do nível de risco que mencionei anteriormente; e é importante porque é uma medida direta da probabilidade de um colaborador se tornar o ponto de entrada de um invasor ou servir como uma última linha de defesa eficaz.

Você pode e deve medir quantas pessoas estão denunciando seus ataques simulados e também as suspeitas de phishing. As denúncias são um comportamento positivo de segurança que os líderes devem procurar cultivar dentro de suas organizações. Afinal, o mantra do setor de segurança há anos é: “Achou suspeito? Diga algo.” O fato de seus colaboradores denunciarem e-mails e atividades suspeitas transforma cada um deles em uma sentinela.

Como as ações, e não o conhecimento, determinarão se a sua organização será violada, sou um grande fã das avaliações de qualquer comportamento relacionado à segurança e que considere importante para minha organização. Isso vale para comportamentos digitais e físicos.

No campo digital, seu SIEM, DLP, IAM, EPP e outros sistemas relatam dados valiosos de telemetria relacionados ao comportamento. Aproveite isso para ter uma idéia do que o seu pessoal está fazendo. Essa visibilidade significa que você poderá se adaptar a esses comportamentos, fornecendo mais processos seguros e educativos, adoção de novas tecnologias e criação de intervenções comportamentais.

Você também pode medir comportamentos de segurança físicos. Por exemplo, se você deseja incentivar seus colaboradores a usar as fragmentadoras em seu escritório, pode medir sua linha de base comportamental inicial pesando o equipamento durante algumas semanas antes de apresentar a campanha (ei! meu livro é um grande recurso para promover campanhas e intervenções comportamentais). Após essa medição que servirá como base, libere os elementos da sua campanha e pese novamente. Continue fazendo isso ao refinar sua campanha. Isso fornece um relatório pré-campanha e pós-campanha baseado em dados.

Conclusão

Chegamos ao fim com cinco fatos que você pode não ter considerado antes sobre treinamentos de conscientização em segurança. Espero que tenha sido útil para você. Eu adoraria ouvir seu feedback. Sinta-se à vontade para se conectar comigo no LinkedIn ou no Twitter. Não deixe de conferir também meu livro se você quiser mergulhar profundamente na arte e na ciência por trás de uma conscientização em segurança eficaz. Sinta-se à vontade para também ingressar no grupo do LinkedIn que estou desenvolvendo para líderes de segurança, lá compartilharei conteúdos exclusivos.

Solicite uma demo: KMSAT

O treinamento de conscientização em segurança é essencial para permitir que você e sua equipe de TI se conectem com os usuários e os ajudem a tomar as decisões de segurança corretas o tempo todo. Não temos uma solução, treinamento contínuo e phishing simulado são necessários para mobilizar os usuários como sua última linha de defesa. Solicite uma demonstração da plataforma da KnowBe4 e veja como isso pode ser fácil!


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*