Quão eficaz é o treinamento de conscientização de segurança?
Se você perguntasse a vários profissionais de TI se eles acham que o treinamento de conscientização sobre segurança é eficaz na redução do risco humano, provavelmente obteria uma resposta mista ...
“O nosso funcionou muito bem, a equipe realmente aceitou o treinamento”
“Nós tentamos, mas nossos usuários continuaram recebendo phishing mesmo assim”
“Ainda é cedo, mas os sinais são bons!”
O problema é que essas avaliações incompletas não fornecem à sua empresa uma visão clara sobre a eficácia desse tipo de treinamento, o que está funcionando bem e qual é o retorno sobre o investimento (ROI) geral.
Portanto, nesta postagem, iremos guiá-lo através de :
- Quão eficaz é o treinamento de conscientização de segurança na redução de riscos?
- Qual é o retorno do investimento (ROI)?
- Cinco maneiras de fazer o treinamento de conscientização sobre segurança funcionar
- Como começar no caminho certo
Qual é a eficácia do treinamento de conscientização sobre segurança?
A eficácia e o ROI do treinamento de conscientização sobre segurança podem variar com base em uma série de fatores - incluindo formato, canais e frequência.
Mas, se feito da maneira certa, o treinamento de funcionários pode ser uma solução de grande sucesso para reduzir o erro humano, melhorando o comportamento diário de segurança e atingindo os principais padrões de conformidade regulamentar.
Em um estudo recente , 80% das organizações disseram que o treinamento de conscientização de segurança reduziu a suscetibilidade de suas equipes a ataques de phishing. Essa redução não acontece da noite para o dia, mas pode acontecer rapidamente - com treinamento regular sendo mostrado para reduzir o risco de 60% para 10% nos primeiros 12 meses .
Mesmo os programas de treinamento menos eficazes têm um ROI de sete vezes , e o programa de desempenho médio resulta em um retorno do investimento de 37 vezes .
Ponemon Institute
O gráfico abaixo fornece uma visão visual de um estudo que mediu como a equipe foi capaz de reconhecer ameaças antes e depois do treinamento:
Como isso mostra, o treinamento de conscientização sobre segurança torna a equipe muito mais capaz de identificar ameaças cibernéticas em potencial.
Todo esse material de ROI parece ótimo, mas como é calculado?
Com tantos fatores diferentes influenciando o ROI do treinamento de conscientização de segurança - incluindo o tamanho da empresa , localização e custos de treinamento - é muito difícil produzir uma previsão precisa de números que podem ser relevantes para todos os negócios.
Dito isso, Osterman Research produziu um dos mais renomados modelos de custos e ROI desenvolvidos para treinamento de conscientização sobre segurança.
O estudo mostrou que, em média, empresas menores (com menos de 1.000 funcionários) podem atingir um ROI de 69% com um programa de treinamento de conscientização de segurança , enquanto empresas maiores (mais de 1.000 funcionários) podem atingir um ROI de 562%.
A ressalva aqui é que o relatório foi baseado em uma série de suposições - que você pode verifique com mais detalhes aqui - incluindo custos de operações e a perda potencial de clientes e receitas, que obviamente variam de empresa para empresa.
Mas não se perca nos dados. O ponto principal é - treinamento funciona .
Cinco maneiras de fazer seu treinamento de conscientização sobre segurança funcionar
Para tornar o treinamento de seus funcionários o mais eficaz possível, há uma série de ingredientes principais que você precisa incluir:
# 1 Mantenha-o regular
De acordo com USENIX , os funcionários começarão esquecer o treinamento depois de quatro meses, portanto, realizar sessões regulares de conscientização é fundamental para garantir que as informações sejam mantidas frescas em suas mentes.
Conforme visto em relatório acima , muitas empresas estão optando por treinar a equipe mensalmente para manter as informações sempre atualizadas.
Isso pode parecer muito, mas esse tipo de treinamento geralmente é fornecido por meio de tamanho reduzido e baseado em computador (CBT ) cursos para evitar a fadiga do aprendizado e qualquer obstáculo à produtividade.
# 2 Mantenha-o envolvente
Em vez de transmitir uma lista de verificação de pontos durante uma apresentação do PowerPoint, tente oferecer vídeos mais memoráveis e cursos de treinamento interativos baseados em computador.
é um exemplo rápido de vídeo de treinamento retirado da plataforma de conscientização de segurança da usecure, uLearn :
# 3 Cubra os tópicos essenciais
É fácil pensar que treinar a equipe para detectar um ataque de phishing é suficiente para reduzir o risco humano, mas focar apenas em alguns tópicos selecionados deixa a porta aberta para erros humanos e ataques bem-sucedidos.
O treinamento contínuo de seus funcionários deve abranger uma ampla variedade de dicas de comportamento, técnicas de ataque e padrões de conformidade. Confira usecure os 12 principais tópicos de treinamento de conscientização de segurança .
# 4 Lançar simulações práticas de phishing
Então você treinou sua equipe para detectar um ataque de phishing? Isso é ótimo, mas como eles reagirão quando um e-mail fraudulento do departamento de finanças realmente cair em sua caixa de entrada, pedindo que paguem uma fatura 'o mais rápido possível'?
Ao executar simulações de phishing de funcionários , você consegue detectar quais funcionários seriam vítimas de um ataque no mundo real, dando à sua empresa a chance de educar proativamente essa pessoa sobre o que ela perdeu.
# 5 Medir o impacto do treinamento
É importante medir o impacto do treinamento para que sua empresa possa a) relatar se sua abordagem está funcionando eb) ter uma visão panorâmica de quaisquer áreas de risco humano em potencial.
um teste rápido no final de cada sessão de treinamento é uma boa maneira de entender o que cada pessoa aprendeu.
Com uLearn , cada funcionário é questionado logo após seu Claro, com seus resultados sendo salvos e adicionados ao seu perfil individual, bem como contribuindo para a pontuação de risco humano geral da empresa.
Como começar no caminho certo
O básico de qualquer programa de treinamento de conscientização de segurança eficaz consiste em treinar a equipe com frequência, usando material envolvente, cobrindo o básico e medindo o impacto contínuo.
Mas encontrar tempo e orçamento para planejar, entregar e gerenciar esse tipo de treinamento pode parecer uma grande perda de recursos para TI e para a empresa como um todo.
É por isso que elaboramos um guia completo para treinamento de conscientização de segurança para ajudá-lo a lançar um treinamento de conscientização de segurança econômico e administrativo desde o primeiro dia.