Prevenção interna

Mantenha-se alerta para permanecer em segurança: a importância do treinamento de cibersegurança

8 minutos lidos

Quando um e-mail de treinamento anual de segurança chega à caixa de entrada, muitos funcionários tendem a ignorá-lo ou procurar atalhos para passar rapidamente no teste final. As pessoas costumam apenas riscar mais uma tarefa da lista de pendências. Mas e se você pudesse demonstrar que esses treinamentos são cruciais, e não apenas mais uma mera tarefa chata? É hora de liberar a criatividade e transformar um treinamento comum em uma experiência instigante e agradável!

Encontre o momento certo

Em primeiro lugar, o treinamento de segurança não deve parecer uma punição ou um fardo para seus funcionários. Para conseguir isso, evite agendá-lo durante os períodos de pico de carga de trabalho e dê aos funcionários tempo suficiente para concluir o treinamento. Adote uma abordagem de apoio, motivando sua equipe ao demonstrar que até mesmo a alta gerência participa e valoriza esses treinamentos. Destaque que todos, incluindo a liderança, estão comprometidos com a educação e a melhoria contínuas.

Como melhorar a conscientização dos seus funcionários sobre cibersegurança?

  1. Repita o treinamento de segurança regularmente
  2. Motive seus funcionários — incentive em vez de punir
  3. Incentive seus funcionários a aprenderem e a se manterem informados
  4. Teste-os inesperadamente 

Obtenha mais dicas em nosso artigo sobre como construir a cibercultura do seu negócio.

Certifique-se de que todos entendam os princípios básicos logo após ingressarem na sua empresa. “Os funcionários também precisam saber a quem devem relatar atividades suspeitas; como usar software ou serviços em nuvem; o que fazer caso vejam indivíduos suspeitos nas dependências do escritório; e como usar tecnologia de segurança, como um gerenciador de senhas”, é o que recomenda Daniel Chromek, Diretor de Segurança da Informação da ESET. Se você tiver um endereço de e-mail da empresa para relatar incidentes, certifique-se de que ele esteja disponível em locais visíveis no seu escritório.

Explique por que o treinamento regular é uma ótima medida preventiva

Depois de determinar o melhor momento, você precisa persuadir seus funcionários de que a educação regular sobre ameaças digitais é importante. Explique a eles que as ameaças digitais estão sempre evoluindo e que só é possível permanecer em segurança aprendendo continuamente sobre elas. O ideal é que seus funcionários permaneçam vigilantes durante sua rotina diária, ao enviar e-mails, manusear dados ou usar aplicativos. Porque até mesmo aplicativos e sites usados diariamente podem representar um risco à segurança digital.

Engenharia social

A engenharia social, assim como o phishing, continua sendo um dos vetores de ataque mais prevalentes. De acordo com o Relatório de Tendências de Segurança Cibernética PurpleSec de 2023, impressionantes 98% dos ciberataques envolvem alguma forma de engenharia social. O apelo está na sua capacidade de explorar o elo mais fraco em qualquer sistema de segurança: as pessoas. Em vez de depender de proezas técnicas para violar sistemas, os invasores empregam manipulação psicológica para ganhar confiança e acessar informações confidenciais. Portanto, sessões regulares de treinamento sobre táticas de engenharia social, ataques simulados e políticas claras são cruciais para qualquer organização.

Saiba mais sobre a engenharia social.

 

Enfatize que a prevenção é a melhor proteção para seus sistemas, e que fazer treinamento regular em segurança digital é parte do que pode e deve ser feito. Até mesmo regulamentações como NIS2 e estruturas como NIST enfatizam sua importância. Além disso, medidas preventivas podem economizar uma quantia significativa de dinheiro para sua organização. De acordo com a IBM, o custo médio de uma violação de dados em 2023 foi de US$ 4,45 milhões, representando 15% a mais do que há três anos.

No entanto, educar seus pares uma ou duas vezes por ano em treinamento de meio período pode ser inútil. Esses treinamentos são facilmente esquecidos porque o conhecimento nunca é atualizado e colocado em prática. Considere combinar o treinamento clássico de segurança com algumas atividades menores, mas mais frequentes. “Faz mais sentido dividir as informações que você precisa transmitir em pedaços menores que os funcionários possam absorver. Por exemplo, use vídeos de 10 minutos focando em apenas um ponto principal, ou resumindo as quatro principais mudanças resultantes das novas políticas, por exemplo. Depois, distribua esses exemplos simplificados regularmente para lembrar aos funcionários que é importante monitorar problemas de segurança”, explica Daniel. 

Divirta-se um pouco 

Há muitas maneiras criativas de tornar seu treinamento mais envolvente. Você pode transformar slides chatos em uma história cômica ou em um jogo onde os participantes são recompensados no final. É possível inclusive transformar a sessão de treinamento em uma atividade divertida em equipe... considere organizar um teste de conhecimento e fazer seus funcionários competirem entre si por alguns pequenos prêmios. Ou prepare alguns cenários da vida real para testar o conhecimento dos funcionários na prática. Aqui estão algumas ideias para você começar:

CENÁRIO DO QR CODE

Coloque códigos QR de festa de Natal em locais que podem ser potencialmente acessados por um invasor de fora da sua empresa, como elevadores ou portas de entrada. Faça-os parecerem os mais autênticos que puder e inclua algum texto chamativo. Diga, por exemplo, que aqueles que escanearem o código podem ganhar um presente na festa de Natal. Esses códigos QR devem levar a uma página que você criou informando aos funcionários que escanear códigos QR aleatórios pode levá-los a sites potencialmente perigosos, especialmente se esses códigos forem colocados em espaços públicos. 

CENÁRIO DE PERSONIFICAÇÃO

Para este cenário, talvez você precise de um pouco mais de criatividade e técnica. Encontre uma maneira de se passar por uma pessoa de alto escalão na sua empresa (com a permissão dela, é claro), seja por meio de deepfake ou usando um clone de voz. Em seguida, envie uma mensagem aos subordinados e lhes dê algumas instruções detalhadas (por exemplo, para enviar uma quantia de dinheiro para uma conta específica — que você, é claro, devolverá quando o experimento terminar). Mais tarde, diga-lhes que foi você e mostre como foi fácil enganá-los, sem esquecer de destacar a sofisticação crescente de métodos como deepfakes e clonagem de voz. 

CENÁRIO DE INTRUSÃO

Para esse último cenário, você precisará de ajuda externa (uma pessoa desconhecida para as pessoas da sua empresa). Coloque essa pessoa do lado de fora das dependências da empresa e a instrua a pedir, gentilmente, a um transeunte que a deixe entrar no prédio, alegando que esqueceu seu cartão de entrada ou chip em casa. O intruso pode sair seguindo os mesmos passos e testar vários funcionários dessa maneira antes de você explicar a situação em um e-mail. Não exponha os indivíduos específicos que falharam no teste, mas busque fornecer números que mostrem quanto tempo levou para o intruso entrar ou quantas pessoas questionaram suas intenções em vez de simplesmente permitir que entrasse. Informe seus funcionários sobre o fato de que tais intrusos podem obter acesso físico aos laptops e outros dispositivos da sua empresa e facilmente roubar dados ou inserir vírus ou software de rastreamento em sua rede. 

Consciência criativa

No final, seus colegas sairão dos treinamentos sentindo-se informados e mais confiantes para enfrentar os desafios da segurança digital, e não mais entediados ou frustrados. Criatividade e inovação devem andar de mãos dadas na transmissão de informações aos funcionários: somente com atualizações regulares todos os envolvidos e a empresa permanecerão à frente do jogo.