A perda de dados é um dos maiores pesadelos de qualquer empresa. Em razão disso, muitos investimentos tecnológicos são realizados para minimizar essa possibilidade. Ningún centro del problema, se encuentra con una acción humana, que muitas veces es explorada por ser vulnerable a las diversas ameaças existentes.
Com a gran repercussão de casos de ciberataques, em que as empresas são invadidas por cibercriminosos que utilizan técnicas cada vez mais aprimoradas, do that é conhecido as engenharia social, criar um programa de conscientização em Segurança da Informação pode ser um bom começo for educar as pessoas e, assim, obter um nível adequado de defesa contra-ataques cibernéticos.
Según pesquisa realizada pela Secretaria de Segurança Pública (SSP), los delitos cibernéticos aumentaram 144% no estado de São Paulo em 2022, principalmente em instituições financeiras, sendo registrados mais de 5 mil casos até o mês de agosto. Segundo a SSP, em 2021, foram registrados 2.219 casos no mesmo period.
A maioria desses ataques foi resultado da desatenção das pessoas. O mais conhecido e utilizado entre eles é o suplantación de identidad, que puede causar inúmeros danos a uma organização e consiste em um ataque que visa o roubo de informações confidenciais ou dinheiro, por meio de uma mensagem de e-mail com conteúdo malicioso. Essa estratégia dos cibercriminosos usa una manipulación psicológica para obtener información sigilosa, como credenciales de entrada en sistemas y até mesmo número de cartão de crédito e senhas, para que os criminosos ejecuten transações eletrônicas em favor das quadrilhas. Eles também utilizam outras táticas, como envio de convites falsos de amizade em uma rede social, links suspeitos com promoções falsas, entre outros.
Cuando las personas están ensinadas a detectar señales de suplantación de identidad o cualquer outro tipo de ataque, a proteger sus senhas pessoais, a não compartilhar informações de propriedade da empresa e pessoais, entre outras boas práticas de segurança, elas passam a atuar junto com a equipe de Tecnologia da Informação para minimizar as ameaças cibernéticas.
Ter um bom programa de conscientização em Segurança da Informação é importante para reducir possíveis ataques, uma vez que as personas pasen a zelar melhor pelos seus dados e sua privacidade, pois compreendem que são agentes de segurança, as responsáveis por atitudes seguras e que contribuem para um espaço seguro para todos do seu convívio. Educar a las personas fornece as skills necessárias para que todos estejam alinhados e possam identifiquen comportamientos sospechosos.
Confira algunasalgumas dicas para desarrollar un buen programa de conscientização:
- Colocar a pessoa no centro da questão. Os seres humanos são complexos, individualizados e influenciados pelo seu ambiente e sus emoções e entender qual melhor metodologia que ele compreende e assimila, é um bom começo;
- Desenvolver uma cultura positiva de seguridad estimulando bons comportamentos (quebrar a cultura punitiva por más acciones). Não impor segurança, trazer o engajamento para que o usuário reconheça essa responsabilidade;
- conquistá-lo e trazê-lo mais próximo para que ele entienda e interiorice una información; falar a mesma linguagem (com quem falar e como falar);
- Criar mensajes eficaces. Muitas campanhas de conscientização perdem força ao enfocar apenas em exemplos negativos. Ao invés de solicitar ao usuário para prestar atenção ao abrir um anexo de uma fonte desconhecida, mude para um tom de voice adequado como: “muitos colaboradores confirmam se o e-mail é válido antes de abrir anexos ou clicar em links suspeitos, será que você pode fazer o mesmo?”;
- Treinamento frecuent e consistente capaz de gerar mudança no comportamento do usuário, relembrando a importância da segurança da informação, exemplificando casos reales de forma simple e objetiva. A única manera de criar mudanças a longo prazo é fazer da conscientização parte do cotidiano com conteúdo simple e com discursos que trazem o problema para questões no dia a dia das pessoas;
- Ter um treinamento dirigido para la integración de dos nuevos colaboradores (onboarding). Fazer um nivelamento, informe que existe uma área de Segurança da Informação, o que deve ser feito quando identifique uma situación sospechosa, presente o time, os contatos, como reportar ações de não conformidade, mensagens suspeitas, entre outros;
- Treinamento dirigido para ejecutivos (C-niveles). Convencer a importância da conscientização, como estão sendo direcionados os investimentos alinhados com a estratégia e apetite de risco de segurança da empresa, como o programa está mudando o comportamento, atitude, percepções através de indicadores de resultados de simulações de suplantación de identidad, disminución de incidentes de segurança, entre outros;
- Segmentar o seu público. Não adianta informar o mesmo conteúdo de segurança para todos, é importante entender a linguagem eo public para que o tema seja interessante e você ganhe aliados dentro da empresa;
- Ter um canal de comunicação con los colaboradores a través de boletins informativos, dicas de como proteger senhas, política de mesa limpia, copia de seguridad de datos, navegación segura e consciente en internet, entre otros.
Um bom programa de conscientização em segurança da informação estimula e motiva os funcionários a se preocuparem com o tema e se tornarem o elo mais forte no ciclo da cultural of safença, for essa razão, a melhor of all as soluções ainda é a prevenção. Iniciativas que treinam e conscientizam as pesoas aliadas a investimentos em tecnologia, continuam a ser as mais eficazes.
E a su organización? Já está trabalhando em um programa de conscientização em segurança da informação? ¿Sua equipe está preparado para protegerse contra una pérdida de información?