Apesar dessa decisão acertada, nem tudo são flores. A pessoa que decide que a capacitação deve ser desenvolvida não é necessariamente a responsável por organizá-la. Por mais que o primeiro indivíduo enxergue o problema, o segundo talvez não entenda do que se trata um treinamento em cibersegurança, como capacitar uma equipe, ou sequer o porquê desse conteúdo ser relevante.
Entendendo o problema
Vamos imaginar que você recebeu a tarefa de implementar políticas de consciência em cibersegurança. Primeiro, o que isso significa? Para deixar claro, trabalhamos com a B2B International para angariar informações de 5000 empresas ao redor do mundo e seu impacto individual em funcionários em certos incidentes de cibersegurança. Em suma, descobrimos:- 46% dos incidentes no ano passado envolveram colaboradores que comprometeram suas empresas sem qualquer intenção.
- Das empresas afetadas por softwares maliciosos, 53% disseram que a infecção poderia ter evitada se os funcionários tivessem mais atenção, enquanto 36% culpam engenharia social (alguém enganou os colaboradores intencionalmente);
- Ataques envolvendo phishing e engenharia social foram bem sucedidos em 28% dos casos;
- Em 40% dos casos, colaboradores tentaram esconder o incidente, amplificando os danos e comprometendo ainda mais a segurança da empresa;
- Quase metade dos entrevistados preocupam-se com a possibilidade de seus funcionários revelarem informações corporativas por meio do dispositivo que levam para o escritório.
Como conscientizar sobre cibersegurança
O “como” da equação também é bem importante. Há diversos cursos, palestras e workshops disponíveis. Todavia, treinamento significa gastar tempo e dinheiro. E, claro que você precisa ter garantias de que terá resultado.Tome como exemplo o caso da ocorrência não reportada. Você pode reunir funcionários e explicar a importância de relatar os incidentes de cibersegurança. Eles dirão que entendem – e continuaram a escondê-los, na tentativa de evitar a responsabilidade.
Uma abordagem ainda melhor é entender a motivação. Em muitos casos, funcionários foram informados sobre as regras por seus gerentes ou responsável de segurança da informação, mas ninguém explicou as razões de terem sido estabelecidas. Às vezes, a pessoa designada para apresentá-las também precisa de treinamento, focado em transmitir a mensagem de forma assertiva.
Saber o que ensinar
Para lidar com ameaças sofisticadas, a empresa deve funcionar como um organismo saudável, dividida em diversos times com diferentes atribuições. Naturalmente, isso significa que essas equipes precisam aprender sobre coisas diferentes. A gestão corporativa tem de estar ciente dos riscos e entender profundamente os possíveis custos financeiros e de reputação. Gerenciamento preventivo e planejamento de segurança requerem entendimento das ameaças e dos procedimentos de atuação de modo a favorecer a ciberresiliência, e também demandam a capacidade de comunicação apropriada com os funcionários. Já para especialistas, o conhecimento sobre os ataques é menos importante do que a habilidade de os evitar.Por isso, nossa abordagem inclui diferenciar os colaboradores por hierarquia e funções:
Para aprender mais ou encomendar um curso para sua empresa, preencha o formulário abaixo e nossos especialistas entrarão em contato.
Nenhum comentário:
Postar um comentário