Table of Contents
Outubro: Mês Nacional de Conscientização sobre Cibersegurança
Outubro é o mês nacional de conscientização sobre cibersegurança nos EUA, momento em que as equipes de TI preparam seu programa anual de educação e conscientização em segurança. Para muitos colaboradores, essa pode ser sua única interação com a equipe de segurança fora do processo de integração, do envio de um pedido de ajuda ou de um possível incidente. No entanto, *cada pessoa desempenha um papel* na função de segurança do negócio todos os dias, seja consciente disso ou não. Essa participação pode se tornar um ativo ou um risco à postura de segurança da equipe.
Segundo o Relatório de Investigação de Violação de Dados 2024 da Verizon, 68% de todas as violações envolvem o fator humano, com a participação de pessoas devido a erros, uso de credenciais roubadas ou engenharia social. Embora a exploração de vulnerabilidades técnicas esteja aumentando em frequência como a principal forma de ataque, o uso de credenciais roubadas e phishing ainda representa a maior parte das violações registradas.
Priorizar a segurança como um elemento crítico para a eficácia e sucesso de uma organização reduzirá o risco de incidentes, beneficiando toda a equipe e a reputação da organização.
Colocando um Preço na Confiança
A segurança é uma função de negócios central, tão crucial para o êxito de uma organização quanto as áreas de finanças, geração de receita ou desenvolvimento de produtos. Além disso, é um fator chave na formação da reputação da organização, influenciando percepções públicas e internas sobre se a empresa é confiável e segura. Para compreender o impacto profundo da segurança percebida (ou insegurança) na imagem pública e nos resultados financeiros, basta examinar as avaliações de clientes ou os preços das ações de grandes empresas antes e após uma violação ou queda publicamente divulgada.
A segurança impacta significativamente na percepção da empresa como confiável e segura para os negócios. A diferença entre um programa de segurança bem-sucedido e um vulnerável está em comunicar esse valor de forma regular e eficaz.
O que é Medido Importa
Em algumas organizações, um CISO ou CIO pode defender a segurança no nível executivo, informando outros líderes e partes interessadas sobre suas necessidades e valor. Na maioria das empresas, no entanto, essa responsabilidade recai sobre o líder da equipe de TI, aumentando sua já substancial carga de trabalho.
Embora pareça autopromoção ou trabalho supérfluo, é extremamente valioso dedicar um tempo extra para resumir as ameaças neutralizadas, os processos aprimorados, os projetos concluídos e os membros da equipe que estão modelando um comportamento de segurança sólido. Esse esforço garante que os benefícios e o valor do programa de segurança permaneçam uma prioridade para a liderança, em vez de serem ofuscados pelas preocupações orçamentárias do próximo trimestre ou pela esperança de evitar notícias ruins.
Antes de começar do zero, busque recursos existentes perguntando a fornecedores e parceiros que relatórios de desempenho e métricas podem fornecer. Muitas ferramentas já devem ter funções de auditoria ou relatórios padronizados, e algumas podem até oferecer resumos personalizados ou informes executivos projetados para atualizar os líderes sobre o progresso.
Ao escolher métricas, pergunte se elas realmente avançam objetivos de segurança eficazes. Por exemplo, um erro comum em treinamentos de phishing é rastrear apenas o número de pessoas que clicam no link antes e depois do treinamento. Embora reduzindo cliques arriscados seja valioso, diminuir esse número para zero é improvável. Em vez disso, focar em quão rapidamente alguém relata um phishing pode reduzir materialmente o tempo necessário para detectar e interromper um ataque real. Agora, o treinamento pode enfatizar a importância de relatar atividades suspeitas, mesmo que um colaborador inicialmente tenha caído na cilada. Essa abordagem incentiva a abertura em vez do silêncio decorrente do medo ou da vergonha, e recompensar comportamentos proativos pode aumentar significativamente a probabilidade de os membros da equipe se manifestarem quando algo não está certo.
Lembre-se: o que é medido é gerenciado. Selecionar e rastrear cuidadosamente métricas de segurança significativas melhora a postura de segurança e demonstra o valor tangível de um programa de segurança para a organização. Essa abordagem orientada por dados pode ajudar a garantir os recursos e apoios necessários para iniciativas de segurança contínuas, transformando a função de segurança de um centro de custo em um motor de valor para os negócios.
Superando a Reputação de “Departamento do Não”
É um clichê frequentemente repetido ver a segurança como o Departamento do Não: um obstáculo à produtividade, melhor visto sem ser ouvido. E se a maioria das interações de segurança for percebida como “tediosa e/ou confusa” ou “frustrante e/ou aterrorizante”, as pessoas farão o possível para evitar interações futuras.
Na realidade, a segurança trabalha incansavelmente para manter a organização e as pessoas dentro dela seguras e protegidas de inúmeros riscos. O que pode parecer uma recusa arbitrária, sob a perspectiva de um colega, pode ter respaldo em boas políticas.
Melhorar essa percepção não significa abandonar controles ou aprovar todos os pedidos. Em vez disso, exige que as políticas sejam claramente explicadas, coletando feedback regularmente sobre processos que se mostram barreiras e exibindo conquistas como parte da rotina de negócios.
Os erros podem ser mais do que apenas mais pedidos de ajuda para as equipes de TI triagem ou irregularidades a serem investigadas: eles podem fornecer um feedback inestimável sobre onde um processo é pouco intuitivo ou mal compreendido. Discutir o “porquê” de alguém sair do caminho autorizado pode ajudar a identificar documentação confusa, casos de uso não considerados ou outros feedbacks qualitativos que passam despercebidos no que pode ser capturado em um log de sistema.
O Que Você Fez Por Eles Ultimamente?
A maioria das pessoas não tem especialistas em segurança disponíveis em sua vida pessoal, o que oferece às equipes de segurança uma oportunidade única de ajudar, enquanto constroem seu relacionamento com a equipe em geral. Em vez de apenas aplicar módulos de treinamento avulsos para atender a requisitos de seguro e conformidade, trate a educação como mais uma oportunidade de proporcionar um benefício ao empregado.
Informe os colaboradores sobre ataques e fraudes em tendência, para que eles possam ficar cientes e informar membros vulneráveis da família. Ensine-os sobre boas práticas de segurança, não apenas em sistemas de trabalho, mas também em sites que eles provavelmente utilizam em sua vida diária, como redes sociais ou bancos pessoais. Essa prática não só ajuda a manter sua equipe a salvo de ameaças fora do trabalho, mas também retroalimenta a segurança organizacional, tornando-os alvos mais difíceis para os atacantes. Seria ótimo se os atacantes tirassem folga à noite e nos finais de semana, mas na realidade, sabemos que eles atacarão onde e por quem for disponível.
Compartilhar algumas dicas toda semana durante reuniões de equipe, no chat da equipe e em atualizações gerais também é mais digerível para as pessoas. É mais fácil absorver algumas dicas a cada semana do que resistir à tentação de desligar durante uma longa e monótona sessão de treinamento.
Essa abordagem também melhora a retenção. De acordo com a pesquisa de Hermann Ebbinghaus sobre memória e a “curva do esquecimento”, esquecemos a maior parte das informações recém-aprendidas dentro de alguns dias depois de aprendê-las. No entanto, a segunda iteração de revisar essa mesma informação aumentará tanto a porcentagem de informações recordadas quanto o tempo que elas permanecerão na memória. Revisões regulares e expansões sobre um tópico resultarão em uma compreensão mais completa e em uma recordação resiliente do tema.
Mais Fortes Juntos
Transformar a relação de segurança de uma de evitação para uma de reforço, segurança e orientação confiável motivará as pessoas a ouvirem mais atentamente as mensagens de segurança. Maior compreensão e adesão cultivam uma mentalidade de segurança mais forte entre as equipes, definindo a segurança como uma função compartilhada e proativa em vez de especializada e reativa.
A segurança é um esforço coletivo, e ajudar sua equipe a se manter mais segura dentro e fora do trabalho beneficiará tanto os colaboradores quanto a organização. Ao redefinir a segurança como uma aliada confiável, em vez de um e-mail ou convite para reunião temido, podemos criar um ambiente mais resiliente e seguro para todos. Lembre-se: quando se trata de segurança, somos, de fato, mais fortes juntos!
#Cibersegurança #Conscientização #SegurançaDaInformação #Engajamento #Tecnologia
2024-10-01T22:32:06.000Z
Zoe Lindsey, Security Strategist, Blumira
ref:https://www.darkreading.com/cybersecurity-operations/normalizing-security-culture-get-ready