Em 2021, está se tornando mais importante do que nunca educar e treinar os usuários finais nas melhores práticas de segurança cibernética no local de trabalho. Abaixo, listamos os 12 tópicos a serem observados. Com ameaças digitais cada vez mais sofisticadas, educar sua força de trabalho digital sobre as melhores práticas de segurança cibernética é a maneira mais eficaz de economizar tempo e prevenir violações de segurança.
Muito foi conquistado em 2020, apesar das circunstâncias difíceis. O mais óbvio foi a maneira como as pessoas e as empresas se adaptaram para lidar com ambientes de trabalho remotos. Com isso, vieram enormes desafios. Riscos como phishing, malware e armazenamento de dados foram apenas acentuados, juntamente com táticas mais agressivas dos hackers do que vimos no passado, um aumento de X%.
Com isso em mente, atualizamos nossa lista de 12 tópicos a serem considerados no ano de 2021.
Quais tópicos de conscientização de segurança devo incluir?
A maioria das empresas dedica grande quantidade de tempo e finanças na implementação de software para proteger suas informações de segurança, com orçamentos médios de TI para segurança em torno de 10%. No entanto, 'hardware humano' é de longe o elemento mais vulnerável de qualquer negócio e as empresas devem operar com base na prevenção ao invés da cura.
O erro humano é a causa de até 95% das violações de segurança cibernética e, com simples cursos de treinamento de conscientização, esse número pode ser reduzido drasticamente. Estimativas recentes sugerem que apenas metade de todos os funcionários recebem treinamento apenas uma vez por ano.
De pequenas e médias empresas a grandes empresas, o funcionário é a última linha de defesa na segurança de uma empresa, o 'firewall humano'. Então, quais são os tópicos de treinamento de conscientização de segurança mais importantes para sua equipe?
Quais são os tópicos de treinamento de conscientização de segurança mais importantes?
Listamos o treinamento de conscientização sobre segurança cibernética mais relevante para funcionários em 2021:
1. Ataques de phishing
No ano passado, vimos um grande aumento nos ataques de phishing. Em particular, havia a enorme quantidade de e-mails de phishing relacionados à pandemia. O Threat Analysis Group do Google relatou em meados de abril que bloquearam 18 milhões de e-mails de malware e phishing com o tema COVID-19 por dia.
Os ataques de phishing ainda são a causa mais comum de violações da segurança cibernética. Os números atuais refletem claramente a necessidade de conscientização sobre ataques de phishing. A pesquisa sugere que 91% dos ataques cibernéticos bem-sucedidos são resultado de um esquema de phishing.
Embora as empresas estejam cada vez mais cientes do phishing, ele ainda é uma ameaça crescente em 2021, em parte devido à falta de conscientização por parte dos funcionários. Ao conduzir o treinamento de segurança como parte da filosofia da empresa por meio de treinamentos recorrentes de conscientização sobre segurança, esse número pode ser reduzido drasticamente com o tempo.
"Spearphishing" é uma forma de ataque mais sofisticada e direcionada, usando funcionários específicos da empresa para legitimar um e-mail para um conjunto específico de usuários finais. Um e-mail que se faça passar pelo CEO, por exemplo, provavelmente será clicado pela maioria dos funcionários e pode conter um anexo de malware. A eficácia de tais ataques levou a desenvolvimentos mais novos e sofisticados, como phishing de voz e phishing de SMS.
Ao treinar seus usuários finais para reconhecer e-mails potencialmente prejudiciais e relatar os suspeitos, essa ameaça pode ser drasticamente reduzida. Ao oferecer cursos de treinamento em segurança cibernética, a conscientização dos funcionários sobre esses ataques pode ser dramaticamente melhorada com um treinamento consistente. Ataques simulados de phishing podem demonstrar o risco potencial de tais ataques para sua empresa.
2. Midia removivel
Outro tópico de conscientização de segurança usado diariamente pelas empresas é a mídia removível. Mídia removível é o meio de armazenamento portátil que permite aos usuários copiar dados para o dispositivo e, em seguida, removê-los de um dispositivo para outro e vice-versa. Dispositivos USB contendo malware podem ser deixados para os usuários finais encontrarem, quando eles o conectarem em seu dispositivo.
"Os pesquisadores deixaram cair cerca de 300 pendrives no campus de Urbana-Champaign da Universidade de Illinois. 98% dessas unidades foram coletadas! Além disso, 45% dessas unidades não foram apenas retiradas, mas os indivíduos clicaram nos arquivos que encontraram dentro" *
Além de compreender os riscos, seus funcionários precisam saber como usar esses dispositivos com segurança e responsabilidade em seus negócios. Existem vários motivos pelos quais uma empresa pode decidir usar mídia removível em seu ambiente. No entanto, com todas as tecnologias, sempre haverá riscos potenciais. Assim como os próprios dispositivos, é importante que seus funcionários protejam os dados nesses dispositivos. Quer sejam pessoais ou corporativos, todos os dados têm alguma forma de valor.
Alguns exemplos comuns de mídia removível que você e seus funcionários podem usar no local de trabalho são:
- Pen drives
- Cartões SD
- CDs
- Smartphones
Este tópico de conscientização de segurança deve ser incluído em seu treinamento e cobrir exemplos de mídia removível, por que ela é usada em empresas e como seus funcionários podem prevenir riscos como perda ou roubo de dispositivos removíveis, infecções por malware e violação de direitos autorais.
3. Senhas e autenticação
Um elemento muito simples, mas frequentemente esquecido, que pode ajudar na segurança de sua empresa é a segurança de senha. As senhas comumente usadas serão adivinhadas por agentes mal-intencionados na esperança de obter acesso às suas contas. Usar senhas simples ou ter padrões de senha reconhecíveis para funcionários pode tornar mais simples para os cibercriminosos acessar uma grande variedade de contas. Depois que essas informações são roubadas, elas podem ser tornadas públicas ou vendidas com lucro na deep web.
A implementação de senhas aleatórias pode tornar muito mais difícil para os agentes mal-intencionados obter acesso a uma variedade de contas. Outras etapas, como a autenticação de dois fatores, fornecem camadas extras de segurança que protegem a integridade da conta.
4. Segurança física
Se você é uma daquelas pessoas que deixa suas senhas em post-its na mesa, pode querer jogá-las fora. Embora muitos ataques possam ocorrer por meio de mídias digitais, manter documentos físicos confidenciais protegidos é vital para a integridade do sistema de segurança de sua empresa.
A simples consciência dos riscos de deixar documentos, computadores sem supervisão e senhas no escritório ou em casa pode reduzir o risco de segurança. Ao implementar uma política de 'mesa limpa', a ameaça de roubo ou cópia de documentos não supervisionados pode ser reduzida significativamente.
5. Segurança de dispositivo móvel
A mudança no cenário das tecnologias de TI melhorou a capacidade de ambientes de trabalho flexíveis e, com isso, ataques de segurança mais sofisticados. Com muitas pessoas agora tendo a opção de trabalhar em trânsito usando dispositivos móveis, essa conectividade aumentada vem com o risco de violações de segurança. Para empresas menores, essa pode ser uma forma eficaz de economizar orçamento; no entanto, a responsabilidade do usuário pelo dispositivo é um aspecto cada vez mais relevante do treinamento em 2021, especialmente para trabalhadores em viagem ou remotos. O advento de aplicativos móveis maliciosos aumentou o risco de telefones celulares contendo malware que podem levar a uma violação de segurança.Os cursos online de melhores práticas para trabalhadores de dispositivos móveis podem ajudar a educar os funcionários para evitar riscos, sem protocolos de segurança de alto custo. Os dispositivos móveis devem sempre ter informações confidenciais protegidas por senha, criptografadas ou com autenticação biométrica no caso de o dispositivo ser perdido ou roubado. O uso seguro de dispositivos pessoais é um treinamento necessário para qualquer funcionário que trabalhe em seus próprios dispositivos.
A melhor prática da comunidade é garantir que os funcionários assinem uma política de segurança móvel.
6. Trabalhando Remotamente
Em 2021, a necessidade óbvia de trabalho remoto, combinada com a crescente aceitação, levou muitas empresas a tomarem medidas drásticas em direção a políticas de trabalho em tempo integral em casa. O trabalho remoto pode ser positivo para as empresas e capacitar os funcionários, promovendo aumento da produtividade e maior vida profissional Saldo. Essa tendência, no entanto, representa uma ameaça crescente às violações de segurança quando não é educado com segurança sobre os riscos do trabalho remoto. Dispositivos pessoais usados para fins de trabalho devem permanecer bloqueados quando não supervisionados e ter software antivírus instalado. Se uma empresa deseja oferecer esse incentivo, ela deve se concentrar em educar funcionários remotos sobre práticas de trabalho seguras.
Entrando em 2021, é provável que essa tendência continue. Embora esperemos ver os escritórios reabrindo e um retorno à vida normal de trabalho, as empresas têm contratado cada vez mais trabalhadores remotos, e aqueles que se adaptaram ao estilo de vida WFH podem preferir trabalhar dessa forma. A necessidade de treinar funcionários para compreender e gerenciar sua própria segurança cibernética é evidente. Como vimos, há um cenário de ameaças cada vez maior direcionado a esses indivíduos. Garantir que eles mantenham a segurança em primeiro lugar é um tema-chave de 2021.
7. Wi-Fi público
Alguns funcionários que precisam trabalhar remotamente, viajando em trens e trabalhando em movimento podem precisar de treinamento extra para entender como usar os serviços públicos de Wi-Fi com segurança. Redes Wi-Fi públicas falsas, muitas vezes posando em cafeterias como Wi-Fi gratuito, podem deixar os usuários finais vulneráveis a inserir informações em servidores públicos não seguros.
Educar seus usuários sobre o uso seguro de Wi-Fi público e os sinais comuns para detectar um golpe em potencial aumentará a conscientização das empresas e minimizará o risco. A revista WIRED fornece um guia útil para evitar os riscos do Wi-Fi público.
8. Segurança na nuvem
A computação em nuvem revolucionou as empresas, a maneira como os dados são armazenados e acessados. Esses aplicativos digitais estão transformando as empresas, no entanto, com grandes quantidades de dados privados sendo armazenados remotamente, existe o risco de hacks em grande escala. Muitas grandes empresas estão trabalhando com proteção de dados, mas ao escolher o provedor de serviços em nuvem certo, o armazenamento em nuvem pode ser uma maneira muito mais segura e econômica de armazenar os dados de sua empresa.
Tal como acontece com os outros tópicos mencionados, o hacking interno é muito mais uma ameaça do que para empresas de nuvem em grande escala. O Gartner prevê que, no próximo ano, 99% de todos os incidentes de segurança na nuvem serão culpa do usuário final. Portanto, o treinamento de conscientização sobre segurança cibernética pode ajudar a orientar os funcionários no uso seguro de aplicativos baseados em nuvem.
9.U so de mídia social
Todos nós compartilhamos grande parte de nossas vidas nas redes sociais: de feriados a eventos e trabalho. Mas o compartilhamento excessivo pode fazer com que informações confidenciais estejam disponíveis, tornando mais fácil para um agente malicioso se passar por uma fonte confiável (consulte: engenharia social).
Educar os funcionários sobre como proteger as configurações de privacidade de suas contas de mídia social e evitar a disseminação de informações públicas de sua empresa reduzirá o risco de potencial alavancagem que os hackers podem obter desse acesso à sua rede pessoal.
10. Uso de Internet e e-mail
Alguns funcionários podem já ter sido expostos a violações de dados, usando e-mails simples ou repetidos para várias contas. Um estudo descobriu que 59% dos usuários finais usam a mesma senha para todas as contas. Isso significa que, se uma conta for comprometida, um hacker pode usar essa senha em contas de trabalho e redes sociais para obter acesso a todas as informações do usuário nessas contas.
Freqüentemente, os sites oferecem software gratuito infectado com malware, aplicativos baixados de fontes confiáveis apenas é a melhor maneira de proteger seu computador contra a instalação de qualquer software malicioso. Educar os funcionários sobre hábitos de segurança na Internet deve ser uma parte fundamental de qualquer indução de TI, embora alguns possam ver esse treinamento como óbvio, é uma parte fundamental da segurança de qualquer programa de segurança.
Muitos grandes sites tiveram grandes violações de dados nos últimos anos. Se suas informações foram inseridas nesses sites, elas poderiam ter se tornado públicas e expor suas informações privadas.
11. Engenharia social
A engenharia social é uma técnica comum usada por agentes mal-intencionados para ganhar a confiança dos funcionários, oferecendo iscas valiosas ou usando a representação para obter acesso a informações pessoais valiosas. Os funcionários precisam ser educados em tópicos de conscientização de segurança que cobrem as técnicas de engenharia social mais comuns e a psicologia da influência (por exemplo: escassez, urgência e reciprocidade), a fim de combater essas ameaças.Por exemplo, ao se passar por um cliente viável ou oferecer incentivos, informações privadas podem ser transmitidas inadvertidamente a esses agentes mal-intencionados. Aumentar a conscientização dos funcionários sobre a ameaça dessas falsificações é fundamental para reduzir o risco de engenharia social.
12. Segurança em casa
Infelizmente, a ameaça de agentes mal-intencionados não pára quando você sai do local de trabalho. Muitas empresas permitem que seus funcionários usem seus dispositivos pessoais, o que é um ótimo método de economia de custos e permite um trabalho flexível, porém existem riscos associados a isso. Aplicativos baixados por malware involuntariamente em dispositivos pessoais podem arriscar a integridade da rede da empresa se, por exemplo, os detalhes de login forem comprometidos.
Além disso, a crescente rede de recursos digitais disponíveis para trabalhadores e empresas aumentou a conectividade e a produtividade. No entanto, esses aplicativos também representam um risco para o usuário. Um estudo da Propeller descobriu que as campanhas de phishing direcionadas à caixa de depósito tinham uma taxa de cliques de 13,6%. Aumentar o conhecimento dos funcionários, compartilhar arquivos criptografados e autenticar downloads reduzirá o risco.
Outros tópicos de treinamento de conscientização de segurança de TI
Além de educar os funcionários sobre os tópicos de treinamento de conscientização de segurança, conforme novas regulamentações são impostas, cursos de conformidade são cada vez mais necessários para os funcionários. A conformidade com o GDPR na UE levou a novas regulamentações relacionadas ao e-mail, que podem exigir um novo treinamento para muitos funcionários. A violação dessas regras pode resultar em pesadas multas, principalmente nos hotéis BA e Marriott.
Os funcionários também devem estar cientes das mudanças nas regulamentações financeiras, proteção de dados, impostos e muito mais. Ao se inscrever em plataformas online automatizadas para gerenciamento de políticas, você pode manter seus funcionários atualizados com as últimas mudanças na política e garantir que eles fiquem informados.
Obtendo o treinamento correto de conscientização de segurança do usuário final
Todas as empresas têm requisitos diferentes, portanto, garantir um curso flexível de conscientização sobre segurança cibernética que se ajuste aos objetivos de sua organização é vital para obter o treinamento certo para sua equipe.
Ao promover uma cultura de conversação e conscientização em sua empresa regularmente por meio de treinamento de conscientização de segurança do usuário final, você pode manter seus funcionários atualizados com os requisitos para manter suas informações pessoais e comerciais seguras.
Comece a transformar humanos em sua linha de defesa mais forte
usecure é a solução de Gerenciamento de Risco Humano (GRM) que capacita as empresas a reduzir os incidentes de segurança relacionados ao usuário, construir uma força de trabalho ciber-resiliente e atingir padrões de conformidade através de programas automatizados de treinamento de usuários.
Com a confiança dos principais profissionais de TI e provedores de serviços gerenciados (MSPs), usecure análisa, reduz e monitora o risco cibernético humano através de programas de treinamento de conscientização de segurança orientados a riscos, campanhas de phishing simuladas, gerenciamento de políticas simplificado e monitoramento contínuo de violação da dark web - tudo em uma plataforma.
