Até que ponto a formação dos utilizadores em Cibersegurança é essencial para proteger os sistemas de TI de uma organização? Provavelmente, mais do que pensa.
André Peixe
Cybersecurity Solution Consultant - Claranet Portugal
A sensibilização dos utilizadores para as questões ligadas à Cibersegurança é essencial para aumentar o conhecimento individual sobre as ameaças e os riscos, bem como sobre as melhores práticas para proteger as informações e os sistemas de TI numa organização.
Mas o que parece uma verdade básica e, teoricamente, assumida por todas as empresas, está ainda longe de ser prática generalizada. O que é já uma realidade é que a necessidade de Security Awareness deixou de estar apenas ao abrigo do cumprimento das obrigações dos principais referenciais sobre segurança de informação, como é o caso da ISO27000; esta prática tem necessariamente de fazer parte de qualquer estratégia de segurança como principal recomendação, abordada paralelamente à componente tecnológica.
A sensibilização e a formação dos utilizadores sobre as melhores práticas de Cibersegurança é importante porque promove:
- o alerta para ataques de engenharia social,
- a sensibilização para a proteção de dados sensíveis,
- a identificação, em fase precoce, de possíveis ataques cibernéticos.
Só desta forma se consegue mitigar, de forma eficiente, as ameaças.
O que devem as formações abordar?
Identificação de ameaças
Entre as temáticas que faz sentido abordar numa formação de Security Awareness, devemos considerar a identificação de ameaças, capacitando os utilizadores para identificar os diferentes tipos de ataque – phishing, malware, técnicas de engenharia social e ataques de ransomware -, bem como sobre a compreensão de como, tipicamente, são perpetrados.
Boas práticas
Por outro lado, é essencial incluir uma componente de sensibilização para as boas práticas de Cibersegurança, em concreto sobre a criação de palavras-chave fortes, a importância de fazer atualizações de software regulares, a utilização de processos de autenticação multifator, entre outras.
Políticas e procedimentos
Neste tipo de formações é ainda importante abordar as políticas e os procedimentos internos da organização, sobretudo nas sessões específicas de onboarding para os novos colaboradores.
As ações de sensibilização para estas temáticas podem ser executadas de diversas formas, seja através de sessões presenciais ou online, vídeos institucionais, posters ou newsletters.
No entanto, seja qual for o formato escolhido, a recomendação é que estas ações se realizem de forma regular e sejam acompanhadas por exercícios complementares, como é o caso das simulações de phishing. Esta prática permitirá atestar a propensão dos utilizadores para interagirem com um ataque de phishing e adequar as sessões formativas com base nos resultados, proporcionando uma formação mais proativa e personalizada.
A parceria com a KnowBe4
Para este tipo de formações dinâmicas, existem várias soluções no mercado, que dão aos responsáveis de uma organização visibilidade sobre a capacidade dos seus utilizadores para detetarem ameaças e a probabilidade de interagirem com possíveis tentativas de ataque.
A principal diferença entre estas soluções reside, normalmente, na qualidade dos conteúdos e na forma como a mensagem é transmitida.
A parceria que a Claranet mantém com a KnowBe4 é um dos pilares da oferta de Security Awareness para os nossos Clientes. Com base na experiência adquirida ao longo dos últimos anos, podemos atestar e recomendar a implementação desta metodologia como a que melhor resultados apresenta:
A lógica desta abordagem é simples, mas com resultados comprovados: os utilizadores ganham a consciencialização de “pensar duas vezes, antes de clicar”. Reforça a sensibilização para os temas relacionados com a Cibersegurança, protege melhor os dados pessoais e, dessa forma, diminui o risco de incidentes de Cibersegurança nas organizações.