Seja fazendo o download de um anexo de e-mail repleto de malware ou enviando seus detalhes de login em sites prejudiciais, um funcionário vítima de um esquema de phishing é um cenário que pode manter os profissionais de TI e proprietários de negócios acordados à noite.
Uma abordagem cada vez mais eficaz para reduzir esse risco é por meio do treinamento de conscientização sobre phishing de funcionários, mas o que exatamente esse tipo de treinamento envolve?
Nesta postagem, cobriremos:
- O que é treinamento de conscientização de phishing?
- Por que a conscientização sobre phishing é importante?
- Quais são os diferentes tipos de treinamento de conscientização sobre phishing?
- Como começar com a abordagem certa
O que é treinamento de conscientização de phishing?
O treinamento de conscientização sobre phishing é a educação contínua fornecida aos funcionários que os ajuda a entender como o phishing funciona, como detectar os sinais reveladores de um ataque e quais ações seguras eles devem tomar quando se sentirem como se estivessem sendo alvos.
Muitas empresas realizam treinamento regular de conscientização sobre phishing para evitar que os usuários comprometam suas credenciais, baixem anexos maliciosos ou enviem informações confidenciais a um falsificador.
Por que a conscientização sobre phishing é tão importante?
Há um equívoco comum de que os golpes de phishing são fáceis de detectar e que apenas pessoas não técnicas ou ingênuas seriam vítimas. Também existe a falsa segurança de confiar demais na tecnologia para evitar phishing ou pensar que "nosso negócio provavelmente não será um alvo".
A verdade é que os ataques de phishing ainda funcionam e estão crescendo em prevalência e sofisticação a cada ano, com uma combinação de tentativas de 'pulverizar e rezar' misturadas com ataques de spear-phishing hiper-direcionados.
Existem agora quase 75 vezes mais sites de phishing do que sites de malware e quase 36% das violações de dados agora envolvem phishing.
Com esses tipos de ameaças, é vital que os funcionários sejam treinados para identificar e relatar ataques de phishing antes que eles possam causar danos financeiros, operacionais ou de reputação.
Afinal, basta uma tentativa de phishing bem-sucedida para causar estragos.
Quais são os diferentes tipos de treinamento de conscientização de phishing?
Existem muitos tipos diferentes de canais, formatos e técnicas usados para oferecer este tipo de treinamento, mas os mais comuns são:
- Treinamento baseado em computador (CBT)
- Exercícios simulados de phishing
- Treinamento em sala de aula
Treinamento baseado em computador (CBT)
Muitos de nós se lembrarão dos dias em que assistíamos a apresentações de PowerPoint de conscientização sobre segurança de uma hora no trabalho, olhando fixamente para o instrutor enquanto ele transmitia uma lista de verificação de dicas sobre "como se manter seguro on-line".
Felizmente, o treinamento se tornou mais eficaz (e menos doloroso) desde então.
Treinamento de conscientização de phishing baseado em computador é basicamente o que diz na lata - em vez de assistir a uma sessão em sala de aula, os funcionários podem trabalhar seus cursos em seus computadores por meio de uma abordagem modernizada de 'e-Learning'.
Aqui está um exemplo de vídeo de treinamento retirado da plataforma de treinamento automatizada de conscientização de segurança da usecure, uLearn :
O treinamento de conscientização sobre phishing baseado em computador oferece muitos benefícios, incluindo:
- É rápido - CBT (Computer Based Training) geralmente inclui cursos curtos que podem ser concluídos em minutos, com muitos estudos mostrando que sessões de treinamento mais curtas contribuir para melhorar a retenção de conhecimento .
- É envolvente - As soluções modernas de treinamento de conscientização sobre phishing geralmente incluem vídeo e conteúdo interativo, que podem ser ferramentas de aprendizagem poderosas para ajudar os usuários compreender os riscos com exemplos do mundo real.
- É medido - CBT torna mais fácil testar quais informações os usuários mantiveram e não retiveram. Freqüentemente, um teste rápido de acompanhamento é tudo o que é necessário para medir a quantidade de informações que eles absorveram.
- Pode ser concluído a qualquer momento - Com reuniões, férias anuais e faltas por doença, tentando reunir todos os funcionários na mesma apresentação pode ser um pesadelo. Muitas vezes, a CBT pode ser concluída quando o usuário tem tempo, evitando qualquer sessão perdida ou impedimento à produtividade.
Exercícios simulados de phishing
Se o treinamento baseado em computador é o caminho para aumentar a conscientização dos funcionários sobre phishing, exercícios simulados de phishing são ideais para oferecer à equipe uma experiência de aprendizado verdadeiramente prática.
Um exercício de simulação de phishing de funcionário é usado para avaliar quais usuários são suscetíveis a um ataque, dando a eles experiência no mundo real enquanto analisam como eles reagiriam em um cenário de phishing.
Isso geralmente é feito replicando uma e-mail de phishing bem elaborado e rastreando quais pessoas inserem seus detalhes de login ou baixam um anexo 'prejudicial'.
Aqui está um exemplo de um modelo de phishing obtido da ferramenta de simulação de phishing do usecure, uPhish :
Parece um e-mail legítimo, certo? Nós, 39% dos funcionários nesta simulação pensaram assim:
Aqui estão alguns dos benefícios dos exercícios simulados de phishing:
- Deve basear seu treinamento - Analisar quais funcionários são vulneráveis a phishing no início de seu treinamento baseado em computador é útil para métrica para medir o progresso em uma data posterior.
- Destacar onde é necessário treinamento adicional - implantação de simulações periódicas permite que as empresas detectem usuários em risco de serem vítimas e quem pode precisar de algum treinamento extra.
- Medir o impacto do treinamento - implantação de simulações de phishing antes e depois do treinamento de funcionários fornece uma visão útil sobre a eficácia de seu treinamento de conscientização foi.
Treinamento baseado em sala de aula
Uma forma tradicional de treinamento, algumas empresas ainda usam sessões em sala de aula para fornecer educação anti-phishing. Existem, no entanto, algumas diferenças importantes entre esta abordagem e a abordagem baseada em computador:
- Pode ser mais caro - Um instrutor de treinamento de conscientização de segurança especializado geralmente é necessário para essas sessões, onde os custos podem variar.
- Pode ser demorado - Estas sessões requerem tempo de preparação e muitas vezes requerem que todos os funcionários estejam presentes ao mesmo tempo ( o que pode ser uma dor de cabeça logística, para dizer o mínimo!).
- O treinamento é menos direcionado - treinamento em sala de aula geralmente é fornecido por meio de apresentações do PowerPoint em um estilo programático e de caixa de seleção, o que significa que todos os funcionários recebem o mesmo material, independentemente do conhecimento, cargo ou antiguidade.
Estudos indicam que a retenção de determinado assunto pode ser até 250% maior com treinamento baseado em computador, em vez de um modelo baseado em sala de aula.
Merrill Lynch, The Book of Knowledge
Comece com a abordagem certa
Tendo ajudado empresas em todo o mundo a reduzir o risco cibernético humano de seus funcionários, usecure sabe o que é preciso para realmente aumentar a conscientização dos funcionários sobre phishing.
É por isso que sempre incentivamos as empresas a incluir a conscientização sobre phishing em um programa mais amplo de treinamento de conscientização de segurança para funcionários que inclua um ampla gama de tópicos de segurança - por exemplo, higiene de senha, engenharia social e tratamento de dados com segurança.
Saiba mais sobre como lançar um treinamento eficaz de phishing e conscientização de segurança com o guia 2021 gratuito do usecure abaixo, ou experimente os cursos de treinamento de conscientização de segurança do usecure com um gratuito de 14 dias .
-> O completo guia para treinamento de conscientização de segurança [PDF]
