Dissemos sempre que medidas técnicas não são suficientes para proteger negócios de ciberameaças. É completamente possível que uma pessoa seja responsável por anular o efeito da estratégia elaborada por um time de segurança inteiro. Em muitos casos, pode se tratar de um erro sem malícia, resultado de falta de conhecimento. Por isso, muitas empresas (de acordo com nossos dados, 65%) investem em treinamentos de cibersegurança para funcionários.
Apesar dessa decisão acertada, nem tudo são flores. A pessoa que decide que a capacitação deve ser desenvolvida não é necessariamente a responsável por organizá-la. Por mais que o primeiro indivíduo enxergue o problema, o segundo talvez não entenda do que se trata um treinamento em cibersegurança, como capacitar uma equipe, ou sequer o porquê desse conteúdo ser relevante.
Entendendo o problema
Vamos imaginar que você recebeu a tarefa de implementar políticas de consciência em cibersegurança. Primeiro, o que isso significa? Para deixar claro, trabalhamos com a B2B International para angariar informações de 5000 empresas ao redor do mundo e seu impacto individual em funcionários em certos incidentes de cibersegurança. Em suma, descobrimos:
- 46% dos incidentes no ano passado envolveram colaboradores que comprometeram suas empresas sem qualquer intenção.
- Das empresas afetadas por softwares maliciosos, 53% disseram que a infecção poderia ter evitada se os funcionários tivessem mais atenção, enquanto 36% culpam engenharia social (alguém enganou os colaboradores intencionalmente);
- Ataques envolvendo phishing e engenharia social foram bem sucedidos em 28% dos casos;
- Em 40% dos casos, colaboradores tentaram esconder o incidente, amplificando os danos e comprometendo ainda mais a segurança da empresa;
- Quase metade dos entrevistados preocupam-se com a possibilidade de seus funcionários revelarem informações corporativas por meio do dispositivo que levam para o escritório.
Para visualizar o texto completo da pesquisa (em inglês), use o link abaixo que o ajuda a entender o “Por que se preocupar com consciência em cibersegurança?”
Como conscientizar sobre cibersegurança
O “como” da equação também é bem importante. Há diversos cursos, palestras e workshops disponíveis. Todavia, treinamento significa gastar tempo e dinheiro. E, claro que você precisa ter garantias de que terá resultado.
Tome como exemplo o caso da ocorrência não reportada. Você pode reunir funcionários e explicar a importância de relatar os incidentes de cibersegurança. Eles dirão que entendem – e continuaram a escondê-los, na tentativa de evitar a responsabilidade.
Uma abordagem ainda melhor é entender a motivação. Em muitos casos, funcionários foram informados sobre as regras por seus gerentes ou responsável de segurança da informação, mas ninguém explicou as razões de terem sido estabelecidas. Às vezes, a pessoa designada para apresentá-las também precisa de treinamento, focado em transmitir a mensagem de forma assertiva.
Saber o que ensinar
Para lidar com ameaças sofisticadas, a empresa deve funcionar como um organismo saudável, dividida em diversos times com diferentes atribuições. Naturalmente, isso significa que essas equipes precisam aprender sobre coisas diferentes. A gestão corporativa tem de estar ciente dos riscos e entender profundamente os possíveis custos financeiros e de reputação. Gerenciamento preventivo e planejamento de segurança requerem entendimento das ameaças e dos procedimentos de atuação de modo a favorecer a ciberresiliência, e também demandam a capacidade de comunicação apropriada com os funcionários. Já para especialistas, o conhecimento sobre os ataques é menos importante do que a habilidade de os evitar.
Por isso, nossa abordagem inclui diferenciar os colaboradores por hierarquia e funções:
Para aprender mais ou encomendar um curso para sua empresa, preencha o formulário abaixo e nossos especialistas entrarão em contato.