Seu treinamento de cibersegurança pode estar falho

Seu treinamento de cibersegurança pode estar falho. O treinamento em segurança cibernética durante a pandemia se mostrou insuficiente, de acordo com uma nova pesquisa da TalentLMS. 

O senso-comum sobre treinamentos e conscientização de segurança está repleto de suposições e conceitos errôneos. Como efeito colateral, os líderes de segurança geralmente sentem que seus programas são ineficazes e que treinar humanos é uma causa perdida.

O site IT Brief trouxe a reflexão sobre os resultados de uma pesquisa realizada pela plataforma online TalentLMS e pela empresa de gerenciamento de vulnerabilidade Kenna Security, que demonstra que embora estejam havendo treinamento de segurança nas empresas os resultados ainda não refletem o mesmo resultado na proteção da informação.

A pesquisa mostra que, embora 59% dos funcionários tenham recebido treinamento em segurança cibernética de suas empresas em resposta ao surto COVID-19, ter um programa de treinamento em segurança cibernética não é suficiente. 

O relatório lança luz sobre a eficácia do treinamento de segurança cibernética e examina a consciência, os hábitos e o conhecimento dos funcionários relacionados à segurança no ciberespaço.

A pesquisa descobriu que os funcionários têm mais conhecimento em segurança de laptop, embora não saibam como proteger dados confidenciais e reconhecer arquivos prejudiciais.

De acordo com os resultados, 59% dos funcionários foram treinados em segurança cibernética em resposta ao turno de trabalho em casa causado pelo COVID-19. No entanto, descobriu que ter um programa de treinamento de cibersegurança em vigor não é suficiente para garantir a segurança cibernética, com 61% dos funcionários que receberam treinamento de cibersegurança sendo reprovados em um teste básico.

Surpreendentemente, as taxas de reprovação mais altas foram relatadas nas duas indústrias a seguir: Serviços de informação e dados (83% dos funcionários reprovaram) e Software (73% dos funcionários reprovaram), de acordo com o estudo.

Enquanto isso, 74% dos entrevistados que responderam todas as sete perguntas do teste incorretamente disseram que se sentem protegidos contra ameaças de segurança cibernética. A pesquisa revelou que 33% dos funcionários armazenam suas senhas em seus navegadores, embora isso coloque em risco a segurança da rede. 

Funcionários remotos também se sentem coletivamente menos protegidos de ameaças (63%) do que funcionários de escritório (51%). 

Embora os resultados da pesquisa mostrem que o treinamento tem um impacto positivo sobre alguns aspectos dos hábitos de segurança cibernética dos funcionários, como proteção de seus computadores e gerenciamento correto de senhas, esses efeitos não são consistentes em todas as áreas. Isso traz à tona alguns dos “pontos cegos” dos programas de treinamento em segurança cibernética que, se não forem resolvidos, criam vulnerabilidades que expõem os funcionários e suas empresas a riscos e ataques cibernéticos.

“Simplesmente oferecer um programa de treinamento em segurança cibernética não garante uma equipe qualificada ou instruída“, disse Victor Kritakis, diretor de segurança da informação da TalentLMS.

“Esses programas geralmente são teóricos, cheios de termos técnicos e, bem, enfadonhos. O treinamento em segurança cibernética deve ser divertido, prático e usar exemplos da vida real”, diz ele.

“E isso porque permanecer seguro e protegido no ciberespaço é uma habilidade prática.”

Quando questionados sobre o que tornaria o treinamento de segurança cibernética mais envolvente, 52% dos funcionários disseram que gostariam que fosse apresentado de uma forma mais simples e menos técnica, enquanto 50% gostariam que fosse mais divertido e gamificado.

5 Fatos sobre Treinamento de Segurança da Informação

O site El Pescador, especializado em treinamentos de segurança da informação, relata cinco fatos que muitos líderes de segurança e TI não percebem quando se trata de conscientização sobre segurança. Assim vamos relacioná-los abaixo para avaliação de nossos leitores. 

1. A lacuna conhecimento-intenção-comportamento

Muitos programas tradicionais de conscientização em segurança falham ao explicar o que é chamado de lacuna conhecimento-intenção-comportamento. Em termos simples, as informações por si só não levam à mudança de comportamento. Nem levam a cuidados ou a intenção de agir com cautela no que diz respeito aos dados pessoais. E mesmo quando alguém se importa e pretende agir com base nas informações recebidas, não há garantia de que elas agirão como tal no momento do comportamento.

Essa lacuna existe porque muitas informações competem por nossa atenção e guiam nosso comportamento. E assim podemos agir de maneiras que opostas ao nosso conhecimento e/ou intenções. Se você precisa se convencer, pense na última vez em que tentou manter uma lista de resoluções para o ano novo. Você listou ações que sabia que eram importantes. E você pretendia agir de maneira diferente com base nesse conhecimento. Mas é muito provável que o comportamento não surtiu efeito! 

Levando em consideração a lacuna conhecimento-intenção-comportamento, você pode perceber três realidades da conscientização em segurança:

• Só porque estou ciente não significa que me importo.
• Se você tentar trabalhar contra a natureza humana, irá falhar.
• O que seus colaboradores fazem é muito mais importante do que eles sabem.

Se garantirmos que se seu programa de conscientização em segurança se ajustar a essas realidades, você começará a ver resultados.

2. O conteúdo que você compartilha é seu rosto e sua reputação

Como líder de segurança, seu conteúdo é sua marca. Vamos ser sinceros: se você estiver em uma organização grande, não há como ter tempo para conhecer todos e permitir que eles o conheçam. E assim, você será conhecido e julgado pela qualidade e capacidade de engajar seus colaboradores com os materiais que você encaminha para todos.

Os materiais e a metodologia do programa de conscientização em segurança influenciarão muito a maneira como o restante da organização o vê e como interagem com você e sua equipe. Isso significa que seu conteúdo e os sistemas que você envia para as pessoas precisam ser tão bons ou melhores que qualquer outro conteúdo com a qual eles interagem. Se você optar por um conteúdo de conscientização em segurança abaixo do padrão, seu pessoal sentirá que a segurança (consequentemente) não é importante e que você é irrelevante e de difícil acesso. Um conteúdo relevante, que se relaciona com o contexto da sua organização e com qualidade comprovada ajudará a criar um senso de conexão e comunidade com sua força de trabalho.

3. É comprovado que o treinamento constante traz benefícios consideráveis para a resiliência da sua organização

Chamo sua atenção para dois ótimos relatórios. Primeiro, Javvad Malik fez uma análise de 100 relatórios de ameaças, em setores diferentes, em busca das causas mais comuns de violações de dados. Em seu relatório Malik dias que as duas causas mais comuns de violação de dados são 1) erro humano/engenharia social e 2) software sem patch.

Se o erro humano, logo a vítima de golpes de engenharia social, é a principal razão pela qual as organizações são violadas, então o que precisamos fazer? Treinamentos de conscientização em segurança! E a boa notícia é que esse tipo de ação, que inclui realizar ataques simulados de engenharia social e phishing, é um método comprovado para reduzir a vulnerabilidade de um colaborador ao phishing. 

Treinamentos associados a ataques simulados de phishing a cada 30 dias, pelo menos, aumentarão drasticamente a resiliência de uma organização frente aos ataques de engenharia social. Há anos acompanhamos organizações que nunca realizaram testes de phishing começarem suas ações com o nível de risco próximo a 30%. Após 3 meses de treinamento, esse percentual diminui pela metade. E, depois de 12 meses, esse percentual cai para cerca de 2%, segundo o El Pescador.

4. Você está sempre fortalecendo ou permitindo atrofia

A conscientização em segurança tem tudo a ver com construir força e memória motora. A única maneira de obter resultados consistentes, que ajudarão a interromper a engenharia social e os erros dos colaboradores, é através de treinamento frequente.

O equivalente físico a isso é frequentar a academia. Você não entra em forma fazendo exercícios uma vez ao ano. E você também sabe que se exercitar uma vez por trimestre, não trará resultados. A única maneira de criar mudanças a longo prazo é fazer da academia parte do seu estilo de vida. É por isso que os programas tradicionais de conscientização em segurança dão errado, por que as organizações criam uma lista de tarefas e não dão continuidade a certos comportamentos. Eles implementam programas equivalentes a ir à academia uma vez por ano.

Mudança duradoura requer compromisso constante. Se você parar de treinar, regride. Da mesma forma que, se você parar de se exercitar, seus músculos irão se atrofiar, os padrões de consciência e de comportamento relacionados à segurança das informações passarão da ordem para o caos caso os treinamentos não sejam reforçados. Essa é a física da situação; como em todas as coisas, a lei da entropia é válida.

5. Você provavelmente está medindo a informação de maneira equivocada

Muitas organizações medem o sucesso de seus programas de conscientização contando o número de colaboradores que concluíram o treinamento, ou analisam as pontuações médias dos testes pós-treinamento, ou contam visualizações de página para seus relatórios e assim por diante. Embora esses números possam ser interessantes, pois são um indicador de envolvimento e alcance, eles não dizem nada sobre o que realmente importa. Especificamente, eles não medem se os colaboradores adotaram comportamentos mais seguros.

Então, como você mede isso? Segundo o El Pescador, uma das métricas de comportamento mais fáceis que você pode coletar está relacionada à vigilância de seus colaboradores contra ataques de phishing. Essa é uma porcentagem do nível de risco e é importante porque é uma medida direta da probabilidade de um colaborador se tornar o ponto de entrada de um invasor ou servir como uma última linha de defesa eficaz.

Você pode e deve medir quantas pessoas estão denunciando seus ataques simulados e também as suspeitas de phishing. As denúncias são um comportamento positivo de segurança que os líderes devem procurar cultivar dentro de suas organizações. Afinal, o mantra do setor de segurança há anos é: “Achou suspeito? Diga algo.” O fato de seus colaboradores denunciarem e-mails e atividades suspeitas transforma cada um deles em uma sentinela.

Como as ações, e não o conhecimento, determinarão se a sua organização será violada, as avaliações de qualquer comportamento relacionado à segurança e que considere importante para a organização devem ser consideradas. Isso vale para comportamentos digitais e físicos.

No campo digital, seu SIEM, DLP, IAM, EPP e outros sistemas relatam dados valiosos de telemetria relacionados ao comportamento. Aproveite isso para ter uma ideia do que o seu pessoal está fazendo. Essa visibilidade significa que você poderá se adaptar a esses comportamentos, fornecendo mais processos seguros e educativos, adoção de novas tecnologias e criação de intervenções comportamentais.

Você também pode medir comportamentos de segurança físicos. Por exemplo, se você deseja incentivar seus colaboradores a usar as fragmentadoras em seu escritório, pode medir sua linha de base comportamental inicial medindo o uso do equipamento durante algumas semanas antes de apresentar a campanha. Após, essa medição que servirá como base, libere os elementos da sua campanha e realize a medição novamente. Continue fazendo isso ao refinar sua campanha. Isso fornece um relatório pré-campanha e pós-campanha baseado em dados.

Fonte: IT Brief & El Pescador & TalentLMS

Veja também:

• Ameaças do PowerShell cresceram 208% no quarto trimestre de 2020
• Estamos chegando ao fim da Privacidade de Dados ?
• Hackers usam Linkedin para enviar backdoor More_eggs disfarçado de oferta de emprego
• Microsoft lança patches 4 falhas adicionais do Exchange
• Office Depot Europe expôs dados de clientes online
• iugu expõe dados confidenciais de clientes
• PAM: Privileged Access Management – Riscos Cibernéticos, Ameaças e Benefícios
• Fabricante do Android Gigaset injeta malware em celulares
• Firewall 5 tipos diferentes explicados para você escolher
• FBI e CISA alertam sobre APT explorando falha no Fortinet
• Lei que criminaliza o Stalking é sancionada pelo Presidente Jair Bolsonaro
• 533 milhões telefones de usuários do Facebook vendidos em fórum de hacking