Por Perry Carpenter, Chief Evangelist and Strategy da KnowBe4.
Não há dúvida, estes são tempos desafiadores. Colaboradores e organizações de todo o mundo estão fazendo o possível para manter todos em segurança e estabelecer uma nova rotina para realizar o trabalho em casa. As tensões são altas; e o medo e a incerteza são consideráveis. Ninguém quer adicionar mais estresse a uma situação já inquietante.
Nos últimos dias, vi algumas postagens nas redes sociais e conversei com pessoas que acreditam que as organizações não devem fazer simulações de phishing com os usuários durante esse período. Eles acham que a melhor maneira de praticar o “treinamento de conscientização socialmente responsável” é fornecer um material simples baseado em informações e abster-se de realizar testes. Pensamentos como esse podem ser bem-intencionados; mas acredito que eles estão errados. Aqui está o porquê:
Os atacantes estão desenvolvendo novos golpes! Este gráfico mostra o crescimento exponencial dos novos modelos de phishing utilizando a temática da COVID-19:
Portanto, é extremamente importante manter nossos colaboradores atentos. De fato, como os atacantes estão em um frenesi de alimentação com a COVID-19, serei ousado o suficiente para dizer que a não realização de um treinamento de phishing durante esse período equivale a negligência. Os atacantes se aproveitam do estresse, da distração, da urgência, da curiosidade e do medo. E eles estão direcionando toda a força contra seus colaboradores e sua organização.
Assim, eu entendo perfeitamente de onde as pessoas vêm quando se sentem hesitantes em testar usuários contra o phishing durante esse período. As organizações não querem adicionar estresse adicional ao seu pessoal. Eles têm medo de fazer com que os colaboradores se sintam confusos ou alienados. Totalmente compreensível… e totalmente contornável. Os principais fatores: tom e processo.
Tom
Vou abordar o tom primeiro, porque acredito que é a peça mais importante para fazer isso direito. Já descrevi a importância crítica do tom nos seminários on-line, nas sessões da conferência e em meu livro. Mas, como o tom é muito mais fácil de sentir do que descrever, usarei um exemplo de vídeo.
Isso é de um projeto de conscientização da COVID-19 que iniciei especificamente para ajudar os líderes de conscientização em segurança a realizar testes críticos de phishing de uma maneira que pareça cuidadosa e sensível. Dê uma olhada e espero que entenda o que quero dizer. Esta é uma mensagem pré-campanha para os clientes enviarem aos colaboradores:
Existem alguns aspectos importantes que ecoam por todos os vídeos desta série. Em essência, eles se resumem a:
Processo
O outro fator chave para se pensar é o processo. Para construir um ‘novo normal’, você deve enviar uma mensagem aos colaboradores informando que os atacantes estão lucrando com a COVID-19. E, por causa disso, você ajudará a preparar a equipe para o que está por vir.
Em essência, o processo deve ser o seguinte:
Conclusão
Espero que nossa mensagem tenha sido útil para você. Quando engajar seus colaboradores com a mensagem e o tom certos, você perceberá que não há nada a temer; e todos sentirão orgulho em ajudar a proteger a organização. É tudo por agora. “Mantenha a calma e não clique. Estamos juntos nessa.”
Para os clientes KnowBe4, temos uma campanha completa pronta para você. Ele consiste em um vídeo para o Administrador da plataforma KnowBe4, um vídeo para anunciar a campanha aos seus colaboradores e um vídeo que fica na landing page logo após o clique na simulação de phishing sobre COVID. Se você tiver alguma dúvida sobre como configurar esta campanha, ligue para o seu CSM e ele irá ajudá-lo.
Referências no Vimeo: