Se você pensa em sua organização como uma fortaleza medieval, seu sistema de gerenciamento de segurança da informação é a muralha de sua fortaleza e seus funcionários são os portões da fortaleza – cada funcionário é um portão. Você sente que suas paredes de repente se tornaram significativamente menos impenetráveis graças a todos aqueles portões? Bem, você está certo!
Não importa quão bons ou caros sejam seus sistemas de TI e quanto você pensou em seu programa de prevenção de perda de dados para fortalecer essas paredes, sua organização é um jogo justo, a menos que seus portões estejam devidamente trancados.
Chega de metáforas. Seus funcionários precisam viver e respirar com uma mentalidade de segurança em primeiro lugar enquanto trabalham, porque essa é a única maneira de proteger os dados confidenciais de sua organização, de seus parceiros e fornecedores. Isso é muito peso para colocar nos ombros de funcionários despreparados, então vamos dar uma olhada em como educá-los de forma eficaz.
Por que educar seus funcionários sobre segurança cibernética?
Os números não mentem:
De acordo com a análise de violação de dados do primeiro trimestre de 2022 do ITRC , 92% dos incidentes de comprometimento de dados foram resultado de um ataque cibernético, e phishing e ransomware foram as duas principais causas de comprometimento de dados. Com base no Relatório de investigações de violação de dados da Verizon de 2022 , a causa de 82% de todas as violações de dados envolveu o elemento humano.
Não há como negar. Você precisa educar seus funcionários sobre segurança cibernética, porque conhecimento é poder. Se seus funcionários estiverem cientes de possíveis ameaças cibernéticas, eles estarão em melhor posição para detectar um ataque e impedir que ele aconteça.
Phishing e outras ameaças de engenharia social são as formas mais comuns pelas quais um cibercriminoso pode tentar se infiltrar em sua organização e visam precisamente a humanos inocentes. Eles acessarão informações confidenciais que lhes permitirão invadir o e-mail do funcionário e usá-lo para solicitar transferências de fundos, por exemplo. Ou eles podem entrar no banco de dados de parceiros ou fornecedores de sua organização, que geralmente inclui todos os tipos de informações confidenciais, causando danos não apenas a você, mas também a terceiros .
Se seus funcionários souberem reconhecer os sinais desses tipos de ataques, eles estarão menos suscetíveis a cair neles.
O aumento do trabalho remoto também tornou mais importante o foco na conscientização sobre segurança cibernética entre os funcionários, porque, convenhamos, em um ambiente não corporativo, é mais fácil negligenciar as regras. Você tem muito menos controle sobre os dispositivos de propriedade dos funcionários e as redes que eles usam, então você precisa que eles estejam no controle de todas as suas políticas de segurança, independentemente de onde estejam trabalhando.
Como explicar a segurança de dados aos funcionários
Você deseja que seus funcionários entendam por que e como cuidar de seus dados e dos dados da organização. Aqui estão algumas dicas sobre como fazer isso de forma eficaz:
Seja pessoal
Não basta enviar um e-mail, fale com eles pessoalmente. Faça uma apresentação, faça um vídeo, mostre seu entusiasmo.
Deixe o chefe falar
Se a administração estiver envolvida, todos levarão isso mais a sério. O CEO não precisa fazer uma apresentação inteira, mas se ele mostrar seu envolvimento com a causa, será muito mais bem recebido do que se for apenas o departamento de TI fazendo solicitações.
Torne-o relacionável
As pessoas estão mais dispostas a seguir regras que façam sentido para elas. Exemplos da vida real, como histórias de violação de dados em empresas conhecidas, demonstram do que você está falando, e falar de forma “humanitária” em vez de entediar todo mundo com linguagem técnica vai mostrar seu ponto de vista.
A prática leva à perfeição
Neste caso, prática significa repetição. Os ataques cibernéticos estão em constante evolução, portanto, você precisa garantir que seus funcionários tenham informações atualizadas. Envie atualizações curtas de segurança de dados, mencione notícias cibernéticas em reuniões regulares de equipe ou encontre outras maneiras de manter a segurança de dados sempre em primeiro plano com a atenção de seus funcionários.
Mantenha isto curto e simples
Mantenha-o curto e simples. A verdade é que os humanos têm a capacidade de atenção de um peixinho dourado, então, quando você os perde, eles desaparecem. Tente dar aos funcionários o máximo de informações possível no menor tempo possível. Pontos de bônus para torná-lo divertido.
Políticas de segurança que funcionam
Digamos que você tenha realizado uma reunião de segurança de dados envolvente, até mesmo divertida, e esteja se preparando para enviar um e-mail resumindo as políticas de segurança de sua organização. Seus funcionários estão entusiasmados e a bordo para assumir sua responsabilidade sobre a segurança cibernética da organização.
Mas você ainda não superou a colina! Você pode perder o compromisso deles mais rapidamente do que pode dizer violação de dados se suas políticas não forem:
Fácil de entender . Use linguagem simples, não jargões técnicos.
Fácil de implementar . Você não quer regras que prejudiquem a produtividade.
Fácil de lembrar . Um guia passo a passo ou imprimível facilita a revisão das regras.
Você também precisará deixar claro com quem seus funcionários podem falar caso precisem de ajuda para explicar ou aplicar qualquer uma das políticas.
Você deve incluir não apenas políticas sobre as melhores práticas de funcionários para prevenção de perda de dados, mas também abordar como eles devem reagir a um encontro de ameaça e a quem dentro da organização devem relatar ameaças e como.
Safetica CISO apresenta uma abordagem pronta para uso
Fazer um curso de eLearning uma vez por ano geralmente não é suficiente para lembrar todas as medidas. No entanto, o eLearning é um bom começo e há mais coisas que você pode adicionar ao seu programa de conscientização de segurança:
- Campanha de e-mail: envie um e-mail curto e simples explicando uma regra de segurança a cada duas semanas.
- Cartazes e visuais de LED: espalhe mensagens de segurança pelo escritório.
- Brochuras de segurança : distribua brochuras explicando os fundamentos para seus colegas atuais e recém-chegados.
- Papéis de parede da tela de login: mostram mensagens de segurança nos laptops dos funcionários.
- Campeões de segurança: nomeie alguns evangelistas de segurança de cada departamento que atuarão como PoC para o tópico de segurança.
As políticas de segurança são importantes do ponto de vista regulatório. No entanto, se as empresas desejam que seus funcionários as sigam, é necessário não complicar demais. Encontrar o equilíbrio certo é fundamental quando se trata de segurança de dados.
diz Radim Trávníček
CISO da Safetica
Como Safetica se encaixa em sua organização
Safetica é fácil de implementar e integrar e simples de usar. Isso significa que não cria complicações extras para seu departamento de TI ou seus funcionários. A solução é executada silenciosamente em segundo plano e monitora seus dados confidenciais.
Se um funcionário está prestes a fazer uma operação potencialmente arriscada, um pop-up aparece e o notifica sobre o risco de segurança. Safetica é uma solução inteligente que permite definir o que deve acontecer em qualquer cenário. Neste exemplo, existem várias opções:
- A Safetica notifica o funcionário, mas ele pode prosseguir se quiser.
- A Safetica notifica o funcionário e bloqueia a operação.
- A Safetica notifica o funcionário e registra silenciosamente a operação, portanto, se algo acontecer, você saberá exatamente o quê.
- Safetica notifica seu funcionário e seu departamento de TI também.
Você vê, há muitas opções. Mas não se preocupe, mesmo que pareça complicado, oferecemos alguns modelos predefinidos que irão ajudá-lo com todas as configurações.
A MD Systems é parceria certificada e autorizada pela Safetica para desenvolver projetos para proteção contra vazamento de dados e monitoramento de comportamento dos usuários de forma a garantir a segurança dos dados das empresas e continuidade de seus negócios.
Font. https://www.safetica.com/blog/how-to-educate-your-employees-about-data-security
Autor: Kristýna Svobodová – Estrategista de Conteúdo @Safetica