O Mês de Conscientização sobre Segurança Cibernética é uma iniciativa que abrange tanto o mundo corporativo quanto o do consumidor, embora haja muita interseção: afinal, todo funcionário também é um consumidor. De fato, como cada vez mais trabalhamos em casa ou em nossos espaços de trabalho remoto favoritos, as linhas nunca foram tão tênues. Infelizmente, ao mesmo tempo, os riscos de comprometimento nunca foram tão graves.
A construção de um mundo mais seguro do ponto de vista cibernético começa aqui. Então, o que os gestores de TI devem incorporar em seus programas de conscientização de segurança agora e em 2024? É importante garantir que você esteja lidando com as ameaças cibernéticas de hoje e de amanhã, e não com os riscos do passado.
Por que o treinamento é importante
De acordo com a Verizon, três quartos (74%) de todas os vazamentos globais ocorridas no ano passado incluem o "elemento humano", o que, em muitos casos, significa erro, negligência ou usuários vítimas de phishing e engenharia social. Os programas de treinamento e conscientização sobre segurança são uma maneira essencial de reduzir esses riscos. Mas não há um caminho rápido e fácil para o sucesso. Na verdade, o que você deve buscar não é tanto o treinamento ou a conscientização, pois ambos podem ser esquecidos com o tempo. Trata-se de mudar o comportamento dos usuários a longo prazo.
Isso só pode acontecer se você executar programas continuamente, para manter os aprendizados sempre em mente. E garanta que ninguém fique de fora, o que significa incluir profissionais temporários, prestadores de serviços e executivos de nível C. Qualquer pessoa pode ser um alvo e você pode ter que se preocupar com isso. Qualquer pessoa pode ser um alvo e basta um erro para que os criminosos entrem na sua rede corporativa. Além disso, realize encontros curtos, para ter mais chances de que as mensagens sejam assimiladas. E, sempre que possível, inclua exercícios de simulação ou gamificação para dar vida a uma ameaça específica.
Como mencionamos anteriormente, as capacitações podem até ser personalizadas para funções e setores específicos, para torná-las mais relevantes para os participantes. Além disso, as técnicas de gamificação podem ser um complemento útil para tornar o treinamento mais aderente e envolvente.
3 áreas a serem incluídas agora e em 2024
À medida que nos aproximamos do final de 2023, vale a pena pensar sobre o que incluir nos programas do próximo ano. Desta forma, considere o seguinte:
1. BEC e phishing
O Business Email Compromise (BEC), que utiliza mensagens de phishing direcionadas, continua sendo uma das categorias de cibercrime mais lucrativas do mercado. Nos casos relatados ao FBI no ano passado, as vítimas perderam mais de US$ 2,7 bilhões. Esse é um crime fundamentalmente baseado em engenharia social, geralmente enganando a vítima para que aprove uma transferência de fundos corporativos para uma conta sob o controle do golpista.
Há vários métodos para conseguir isso, como se passar por um CEO ou fornecedor, e esses métodos podem ser perfeitamente inseridos em exercícios de conscientização sobre phishing. Esses exercícios devem ser combinados com investimentos em segurança avançada de e-mail, processos de pagamento robustos e verificação dupla de todas as solicitações de pagamento.
O phishing, como tal, existe há décadas, mas ainda é um dos principais vetores de acesso inicial às redes corporativas. E graças aos distraídos trabalhadores domésticos e mobile, os bandidos têm uma chance ainda maior de atingir seus objetivos. Mas, em muitos casos, as táticas estão mudando e, portanto, os exercícios de conscientização sobre phishing também devem mudar. É nesse ponto que as simulações ao vivo podem realmente ajudar a mudar o comportamento dos usuários. Para 2024, considere a possibilidade de incluir conteúdo sobre phishing por meio de aplicativos de texto ou de mensagens (smishing), chamadas de voz (vishing) e novas técnicas, como o desvio da autenticação multifator (MFA).
As táticas específicas de engenharia social mudam com extrema frequência, portanto, é uma boa ideia fazer uma parceria com um provedor de cursos de treinamento que possa atualizar o conteúdo de acordo com as mudanças.
2. Segurança de trabalho remoto e híbrido
Há muito tempo, os especialistas alertam que os funcionários têm maior probabilidade de ignorar as orientações/políticas de segurança ou simplesmente esquecê-las quando trabalham em casa. Um estudo revelou que 80% dos funcionários admitiram que trabalhar em casa às sextas-feiras no verão os deixa mais relaxados e distraídos, por exemplo. Isso pode colocá-los em um risco elevado de comprometimento, especialmente quando as redes e os dispositivos domésticos podem estar menos protegidos do que os equivalentes corporativos. E é nesse ponto que os programas de treinamento devem entrar em cena com orientações sobre atualizações de segurança para laptops, gerenciamento de senhas e uso exclusivo de dispositivos aprovados pela empresa. Isso deve ser feito juntamente com o treinamento de conscientização sobre phishing.
Além disso, o trabalho híbrido tornou-se a norma para muitas empresas atualmente. Um estudo afirma que 53% delas já têm uma política, e esse número certamente crescerá. No entanto, o deslocamento para o escritório ou o trabalho em um local público tem seus riscos. Um deles são as ameaças de hotspots Wi-Fi públicos que podem expor os funcionários a ataques do tipo adversary-in-the-middle (AitM), em que os cibercriminosos acessam uma rede e espionam os dados que trafegam entre os dispositivos conectados e o roteador, e ameaças do tipo "gêmeo maligno", em que os criminosos configuram um hotspot Wi-Fi duplicado disfarçado de legítimo em um local específico.
Há também riscos menos "hi-tech". Os treinamentos podem ser uma boa oportunidade para lembrar a equipe dos perigos da navegação clandestina.
3. Proteção de dados
O treinamento regular é uma das melhores maneiras de manter as práticas recomendadas de tratamento de dados em mente. Isso significa coisas como o uso de criptografia forte, bom gerenciamento de senhas, manter os dispositivos seguros e relatar qualquer incidente imediatamente ao contato relevante.
A equipe também pode se beneficiar de uma atualização sobre o uso de Blind Carbon Copy (BCC), um erro comum que leva a vazamentos involuntários de dados de e-mail, e outros treinamentos técnicos. E eles devem sempre considerar se o que publicam nas mídias sociais deve ser mantido em sigilo.
Os cursos de treinamento e conscientização são uma parte essencial de qualquer estratégia de segurança. Mas eles não podem funcionar isoladamente. As organizações também devem ter políticas de segurança rígidas, aplicadas com controles e ferramentas fortes, como o gerenciamento de dispositivos móveis. "Pessoas, processos e tecnologia" é o mantra que ajudará a criar uma cultura corporativa mais segura do ponto de vista cibernético.