Punir erros de segurança cibernética é considerado contraproducentes, os tempos mudaram !

Punir erros de segurança cibernética é considerado contraproducentes, os tempos mudaram ! Mais de quatro em cada 10 (42%) organizações tomam medidas disciplinares contra funcionários que cometem erros de segurança cibernética, o que os coloca em maior risco de ataque, de acordo com um novo estudo da CybSafe .

Em uma pesquisa com empresas do Reino Unido, verificou-se que erros como a queda em esquemas de phishing simulados são regularmente punidos. Isso inclui nomear e envergonhar funcionários (15%), diminuir os privilégios de acesso (33%) e bloquear computadores até que o treinamento apropriado seja concluído (17%). Além disso, 63% das organizações informarão o gerente de linha dos funcionários quando forem cometidos erros cibernéticos.

Como parte da pesquisa, a CybSafe conduziu um experimento em laboratório para testar o impacto desses tipos de punições. Ele descobriu que isso tem um impacto “altamente prejudicial” na equipe, com punições aumentando os níveis de ansiedade e reduzindo a produtividade. Os resultados sugerem que as punições podem ter um impacto a longo prazo na saúde mental dos funcionários e, na verdade, reduzir sua resiliência cibernética.

O Dr. John Blythe, chefe de ciência do comportamento da CybSafe, comentou: “As pessoas se apaixonam por ataques de phishing e outros erros de segurança cibernética porque são humanos e porque foram treinados para clicar em links. Os maus hábitos são difíceis de eliminar, especialmente quando os ataques de phishing de hoje podem ser altamente convincentes. ”

“A punição formal de funcionários por falhas na segurança cibernética é, na grande maioria dos casos, uma abordagem problemática. É injusto e diminui a produtividade. Pode causar níveis elevados de ressentimento, estresse e ceticismo em relação à segurança cibernética. ”

Blythe acrescentou que esse tipo de abordagem pode tornar a equipe mais relutante em relatar erros de segurança cibernética rapidamente, colocando as organizações em maior risco.

O Dr. Matthew Francis, diretor executivo da CREST , disse: “As descobertas destacaram como algumas organizações bem-intencionadas estão impactando negativamente sua resiliência cibernética ‘expulsando’ ou repreendendo indivíduos e que os erros de cibersegurança podem servir como oportunidades positivas para educar as pessoas, desencadear mudanças duradouras e sustentadas na conscientização e no comportamento da segurança. ”

Se somos honestos conosco, todos sabemos disso há muito tempo. Cartazes. E-learning obrigatório. Seminários e quedas de mesa. Eles são grampos de conscientização de segurança. E agora são todos, sem dúvida, ineficazes. Eles são projetados para ensinar as pessoas sobre segurança. Apenas nos nossos termos.

As pessoas têm prazos vencidos. Chefes expectantes. Crianças para alimentar. Então, executamos nossas campanhas. E as pessoas sorriem e acenam com a cabeça. Enquanto isso, os cibercriminosos riem e brincam. Por um longo tempo, precisamos de uma revisão. 

Os tempos mudaram

A conscientização de segurança sem fronteiras é uma mudança radical de pensamento para um mundo radicalmente diferente.

Considere o COVID-19 por um segundo.

Primeiro, o COVID-19 mudou nossa tecnologia . Mudou a maneira como vivemos , aprendemos , compramos e trabalhamos . E, a propósito, as mudanças são permanentes . 

Agora, campanhas antigas de conscientização de segurança são consideradas ineficazes . Quantas pessoas estão colocando seus próprios pôsteres de conscientização sobre segurança em casa? Quantas pessoas têm quedas de segurança nas mesas da cozinha?

Boa sorte, prendendo a atenção das pessoas em um seminário virtual. Ou colocar as pessoas a bordo, atacando-as em sua própria casa . 

Fazer um E-learning obrigatório? Talvez, mas com sete outras guias abertas, a TV ligada em segundo plano e os filho gritando pelos cômodos da casa.

Reconhecimento de segurança sem fronteiras

A conscientização de segurança sem fronteiras é a única reação razoável ao mundo permanentemente alterado. Não se trata apenas de proteger pessoas remotas.

O COVID-19 incendiou algumas fronteiras consagradas pelo tempo. A separação física entre residências e escritórios. A proteção assumida de redes de escritórios no local. O cobertor cheio de esperança de extensas políticas de segurança. A fronteira entre vidas pessoais e profissionais. 

Todos se foram. E precisamos nos adaptar…..

A conscientização de segurança sem fronteiras é um novo conceito e um próximo passo. 

A conscientização de segurança sem fronteiras é sobre abandonar um plano ilusório. É sobre a desclassificação do e-learning forçado.  Trata-se de ir além do phishing falso.

A conscientização de segurança sem fronteiras é sobre apoiar e ajudar as pessoas no momento certo e onde quer que estejam . É consciência de segurança em um mundo sem fronteiras.

Os princípios das fronteiras

No coração do pensamento sem fronteiras estão seis princípios fundamentais:

• Interaja com as pessoas no momento certo e no lugar certo. Devemos ajudar as pessoas quando elas precisam de ajuda – não em nosso próprio horário arbitrário.
• Trate as pessoas como adultos. Devemos incorporar segurança à vida das pessoas de maneira centrada nas pessoas.
• Vá além do treinamento e da educação. Somente treinamento e educação não funcionam. As pessoas também precisam de apoio e assistência.
• Concentre-se em comportamentos de segurança. O que as pessoas fazem é mais importante do que aquilo que as pessoas sabem .
• Concentre-se na resiliência e não na segurança absoluta. Segurança não é binária. Devemos observar e ajustar nossa resiliência, conforme desejado.
• A medida. Use dados e métricas para determinar o impacto. Somente então você poderá gerenciar e reduzir seu risco cibernético.

A conscientização de segurança sem fronteiras é uma abordagem. É uma mentalidade. 

Ele orienta como você visualiza e lida com o risco cibernético humano no que se refere à conscientização, comportamento e cultura de segurança.

Alterando funções de segurança

COVID-19 mudou o mundo. Ao fazer isso, mudou o plano de conscientização de segurança. 

Também mudou o papel dos profissionais de segurança. Ainda estamos aqui para gerenciar riscos cibernéticos. Mas como isso é feito mudou. 

Precisamos de uma nova abordagem para a conscientização de segurança. A nova abordagem precisa ser feita sob medida para o mundo de hoje e isso significa que precisa ser sem fronteiras.

A consciência tradicional de segurança está morta e precisamos criar planos de conscientização de segurança sem fronteiras. Pense Nisto! 

Fonte: Info Security Magazine & Cybsafe

Veja também:

• 8 dicas para criar defesas e respostas a ataques de Ransomware
• Ransomware: Por que ele se recusa a desaparecer
• Recuperação de Ransomware começa antes do ataque!
• Invasores estão explorando a vulnerabilidade nota 10 no F5 BIG-IP
• Malware Linux indetectável direcionado a servidores Docker com APIs expostas
• Cisco adverte sobre bug de alta gravidade na linha de switches para pequenas empresas
• Tudo sobre Ransomware, da história à decisão de pagamento!
• Microsoft recomenda prioridade no patch de vulnerabilidade crítica no DNS
• TikTok é investigado por Risco de Privacidade e pode ser proibido em vários países
• Caixa bloqueia centenas de contas do “Caixa Tem” após ataque hacker
• Malware Lúcifer atacando sistemas Windows com cripto mineração
• Vulnerabilidade nota 10 põe em risco 40 mil servidores SAP