A engenharia social figura no topo dos principais riscos humanos, segundo o Relatório de Conscientização do SANS Institute 2023. Um dos fatores surpreendentes apontado pelos especialistas não é o fato do tema ter encabeçado a lista, mas que ele tenha sido percibido con un risco mayor em comparación con otros riesgos humanos. Independientemente de la identidad, el nivel de habilidad, los recursos o la motivación del atacante cibernético, la ingeniería social es una de las maneras más simples y eficaces para lograr la mayoría de sus objetivos.
Pero por qué suplantación de identidad ¿Ano a ano continua no topo de ameaças para as empresas, mesmo aplicando as melhores práticas de programas de conscientização, segmentando públicos, desenvolvendo treinamentos e diferentes meios de comunicação sob à luz de atividades educativas e lúdicas? ¿Por qué até mesmo as organizações que están avanzando na maduridade dos programas de conscientização – saindo da esfera comportamental para a cultural dentro das métricas apontadas pelo SANS – também sofrem esse tipo de ameaça? Uma das razões é o avanço da Inteligência Artificial (IA), que tem ajudado os atacantes nas técnicas para envolver as pessoas a tal ponto de elas tomarem uma ação indevida, como, por ejemplo, dando mais veracidade nos e-mails capaces de fisgar e reter a atenção dos colaboradores das organizações.
Para se ter uma idea, o “Informe de investigaciones de violación de datos (EUA)”, de Verizon, informó que en 2023, el 74% de todas las violaciones cibernéticas involucran a seres humanos, seja na forma de intención maliciosa o negligencia, tornando a las personas a causa más significativa de violaciones. Embora isso seja 8% menor do que em 2022, os humanos todavía representan un alto riesgo para los dados de una organización.
Esto significa que el tratamiento de estos riesgos debe ser pautado no sólo en las métricas recomendadas por NIST, SANS, ISO 27002, ISO 27005 y otras. marcos já conhecidos quando se trata de fator humano. Debemos repensar como prácticas de mejoras continuas de nuestros programas efectivamente basados en riesgos cibernéticos, onde como organizaciones debemos tratar el riesgo humano de la mesma forma que cualquier otro identificado, como com o apoio de análisis comportamentais de cada colaborador e desarrollar un plano de mitigación conforme o apetito y riesgo de cada negocio.
Gente y cultura
Você já deve ter se perguntado muchas veces porque os colaboradores não se engajam tanto quanto você gostaria nas ações educativas dos programas de conscientização, mesmo que tenha um arsenal de ferramentas que automatizam esas atividades. La respuesta es: ¿Sabes exactamente qué seria la mejor atividade para un grupo de personas? Este entendimiento es esencial para personalizar las acciones educativas y la mayoría de los programas de concientización en seguridad de la información precisa de estos indicadores, frutos de esta identificación.
Ora, estamos falando de personas. Engenharia social, devemos olhar com lupa para quem são elas, o que gostam, o que consomem, por que preferem uma coisa ou outra. ¿Más información hay? ¿Nas métricas da operación de ciberseguridad? No. Sin embargo, este arco de indicadores sirve para aprimorar el programa de concientización, ayudando a demostrar dónde están los riesgos de la ciberseguridad y como tratarlos en la relación con las personas, se cruzaremos con diferentes bases para comprobar el perfil y un mejor abordaje para mitigarlos. .
¿Mas será que devemos nos concentrar apenas en métricas que comumente sustentam a melhoria contínua dos programas de conscientização? Segundo Gartner, el factor humano aparece entre las principales tendencias de ciberseguridad en 2023. O design de segurança centrado no ser humano prioriza el papel da experiência do colaborador — em vez de consideraciones técnicas aisladas — em todo el ciclo de vida do gerenciamento de controles. Baseando-se nas ciências comportamentais, experiência do usuário (UX) e disciplinas relacionadas, ayuda a minimizar o comportamento inseguro dos funcionários.
Além disso, otra recomendación es aprimorar a gestión de personas e mudar el foco para tácticas de gestión de talentos centradas no ser humano para atraer y reter talentos. Cuando os Oficiales jefes de seguridad de la información (CISO) fazem isso, eles veem melhorias de maduridade funcional e técnica.
Portanto, actualmente una de las claves de éxito para mudar a la cultura de seguridad de la información es “beber” de la fuente de experiencia del colaborador, a partir de las informaciones generadas por los tiempos de Analítica de personas, que extraem diferentes visões sobre as pessoas da organização para atingir diferentes objetivos, desde a retenção, desenvolvimento de carreira, pesquisas e análise do comportamento humano em modelos preditivos, acrescidos de dados sobre campanhas de suplantación de identidad, entrenamientos, las charlas, entre otros indicadores de tiempos de seguridad de la información.
Utilizar diferentes estrategias y fuentes de información es fundamental para que los líderes en la cultura de seguridad de la información puedan ser beneficiarios de atrelar métricas e indicadores de ciberseguridad que dan a la vista dos riesgos, aumentando la madurez de sus programas, sabiendo un escenario educativo para un patamar de mudança cultural basada en datos sobre quem e como dirigir as ações no sentido de tratar cada risco com soluciones e contenidos específicos, basados en el linguagem de cada área de negocio.
Conclusión
La Gestão de Risco Humano (GRH) es una tendencia que veio para ficar. Diante este escenario, é imprescindível adotar o ciclo PDCA (Planificación – Planejar, Do – Fazer, cheque – Checar, Actúe – Agir), apoiado em métricas que devem ser constantemente auditadas para obtener una comprensión detallada de cada posición en la que está el colaborador, bem como niveles de acceso y potenciais riesgos nos dados das empresas. Además de que la organización tiene un programa anual de concientización, esa evaluación debe ser constante, respetando una periodicidad mensual, bimestral, trimestral o semestral, dependiendo de la métrica a ser evaluada.
As atividades devem ser planejadas de forma personalizada. Aunque una organización no dispone de herramientas capaces de ofrecer entrenamientos y materias educativas de forma automatizada, es importante disponer de la eficacia del planeamiento. Es esencial crear un programa de embajadores desde las áreas de negocios y ancorado pelo tablero. Un seminario web padrão pode não ter efeito para el sector financiero que tem uma necesidad y entendimiento diferente do time de desenvolvedores, por ejemplo. Nesse sentido, además de los embajadores, los indicadores de Analítica de personas oferecerão insumos qualitativos sobre o que fazer para tratar os riscos sobre una perspectiva do fator humano.
Es esencial verificar constantemente los indicadores de las operaciones de gestión de acceso, ciberseguridad, como o qué vulnerabilidades están como senhas dos colaboradores y os compartilhamentos de dados, o cuánto o canal de denuncia de mensajes sospechosos tem recibidos. reportes de incidentes de seguridad da información e reincidências de comportamiento indevido, bem como aquellos que frecuentemente têm tido um comportamiento desejável, a partir de actitudes maduras sobre a defensa e proteção dos dados da empresa.
Por fin, una matriz de riesgos debe ser continuamente actualizada y retroalimentada con esas informaciones en conjunto con el tiempo de gobierno, que orquesta todos los riesgos de seguridad de la información y auxiliares en las acciones para su tratamiento.