O Que é o Treinamento de Conscientização de Segurança e Você Deve Aplicá-lo no Seu Espaço de Trabalho?

Workplace Security Awareness Training

Relatórios de pesquisa sugerem que até 90% de todas as violações de dados estão, de uma maneira ou de outra, ligadas a erros humanos. É difícil dizer o quão precisa é essa estimativa, mas tendo abordado alguns incidentes de ciber-segurança até agora, podemos dizer com segurança que na maioria dos casos, os dados são comprometidos não porque os hackers são espertos demais, mas porque as pessoas responsáveis por mantê-los seguros não fizeram o suficiente. Senhas fracas e outros erros de configuração são uma ocorrência cotidiana, e as empresas não parecem estar especialmente certas sobre como mudar isso. Mais uma vez, apontar as razões pelas quais a solução do problema está se mostrando tão difícil está longe de ser a coisa mais fácil do mundo. Poucas pessoas estão dispostas a argumentar, no entanto, que a falta de consciência não faz parte do problema.

Os trabalhadores simplesmente não sabem o suficiente sobre o cenário das ameaças

É fácil culpar a maioria dos erros de ciber-segurança à imprudência, e é justo dizer que um número não muito pequeno de especialistas fazem isso com frequência. Consideramos, no entanto, que na maioria das vezes os erros são o resultado de uma velha ignorância.

Os usuários não protegem as contas confidenciais, tais com senhas como "P@ssword123!" porque eles querem ver os dados caírem nas mãos erradas. Eles fazem isso porque eles não sabem com que facilidade os ataques de força bruta podem decifrar tais senhas.

Eles colocam informações confidenciais nos servidores mal protegidos, não porque querem ver a empresa em que trabalham fazer manchetes por todas as razões erradas, mas porque não estão cientes sobre com que rapidez os cibercriminosos podem encontrar os dados vulneráveis.

Em suma, se as pessoas souberem que tipo de perigo enfrentam, estarão mais bem preparadas para se protegerem.

Sua empresa precisa de um programa de treinamento de conscientização de segurança?

Não é uma questão de saber se é necessário. É uma questão de que tipo de treinamento é necessário. Infelizmente, como não há duas organizações iguais, respondê-las não é tão simples quanto se poderia esperar. Se os seus funcionários processarem a maioria dos dados em um ambiente offline, por exemplo, ensiná-los sobre a configuração adequada do firewall de um servidor não os ajudará muito.

Um bom programa de conscientização de segurança depende do amplo conhecimento das ferramentas e mecanismos com os quais seus funcionários trabalham. Você ou um especialista contratado deve levar em consideração todos os detalhes se realmente for melhorar a segurança de sua organização. Isso de fato envolve uma quantidade séria de tempo e (potencialmente) dinheiro, mas os benefícios desse tipo de treinamento podem superar consideravelmente o gasto. Antes de chegar a tudo isso, no entanto, você precisa ensinar aos seus funcionários algumas verdades fundamentais sobre a segurança do século 21, tanto no mundo real quanto na Internet.

As bases fundamentais do treinamento de conscientização de segurança

Um extenso programa de treinamento personalizado para atender às necessidades da sua empresa é a melhor maneira de melhorar a segurança dos dados. Antes de iniciar, no entanto, você precisa ter a certeza de que todos estão cientes de algumas ameaças universais que precisam ser consideradas em casa e no escritório. Agora vamos dar uma olhada neles e esperamos ajudar seus trabalhadores a se manterem mais seguros.

 

  • Limpeza inadequada de senhas

 

 

 

    • Nós discutimos o problema das senhas extensivamente nestas páginas, e provavelmente é hora de você discutir isso com seus funcionários também. Em vez de se ater à possibilidades teóricas, tente dar a eles exemplos reais de ameaças como ataques de

stuffing de credenciais

    • e

spraying de senhas

    • e mostrar como adicionar "123!" ao final de uma simples palavra de dicionário, não ajudará muito para aumentar a força da senha. Crucialmente, mostre-lhes como as ferramentas dedicadas de gerenciamento de senhas, como o

      Gerenciador de Senhas do Cyclonis

        • pode ajudá-los a gerar, organizar e armazenar seus dados de login.

       

        • Ataques de phishing

      O Phishing é sem dúvida o ataque cibernético mais simples por aí. Por um lado, na maioria dos casos, utiliza o método mais antigo e mais conhecido de comunicação on-line (e-mail) e, embora os truques de confiança empregados pelos trapaceiros sejam sempre muito inteligentes, o trabalho técnico dedicado a colocar a máquina em movimento é nem tanto. Estes, acredite ou não, são precisamente as razões pelas quais os ataques de phishing tendem a ser tão eficazes. Enviar um grande número de e-mails é barato, e criar um truque que engane os usuários para clicar no link errado ou abrir o arquivo errado não é muito difícil. Se seus funcionários estiverem cientes disso, eles estarão mais propensos a usar as ferramentas que têm à sua disposição para se protegerem.

       

        • Falta da autenticação de dois fatores

      Ao ativar a autenticação de dois fatores (ou 2FA), você está colocando outro obstáculo no caminho dos hackers. Isso significa que, se quiserem acessar sua conta, precisarão não apenas de seu nome de usuário e senha, mas também de acessar seu e-mail, seu telefone ou um token físico que você possui. Eles atuam como o segundo fator que limita a probabilidade de acesso não autorizado.

      2FA não é à prova de falhas. Longe disso, na verdade, mas ainda é a maneira mais fácil de adicionar outra camada de segurança, e seus funcionários devem definitivamente usá-la sempre que possível.

       

        • Software desatualizado e vulnerável

      Mais uma vez, teoricamente, explicar os perigos que os softwares antigos representam dificilmente conseguirá um verdadeiro impulso com seus funcionários. Por outro lado, se você mostrá-los como os usuários continuam infectando seus PCs com malware por causa de uma vulnerabilidade de segurança que deveria ter sido corrigida há dois anos, eles são mais propensos a ouvir. A instalação oportuna de todos os patches de segurança pode salvar muitas dores de cabeça, tanto para usuários individuais quanto para organizações inteiras. Evidentemente, isso pode causar problemas, especialmente se o software em uso for mais complexo, mas não pode ser desculpa para deixar os sistemas vulneráveis. Afinal, uma potencial violação de dados pode não apenas comprometer as informações das pessoas; ele também pode danificar massivamente a reputação de uma organização.

       

        • A segurança de dispositivos pessoais

      Você poderia argumentar que isso é mais uma questão de política do que de treinamento, mas no entanto, nos dias da cultura BYOD (Bring Your Own Device), não podemos ignorá-la. Os pesquisadores vêm monitorando as tendências e chegaram à conclusão de que os trabalhadores tendem a se sentir mais confortáveis ​​quando trabalham em seus próprios telefones, laptops ou tablets. Os especialistas também concluíram, no entanto, que muitas pessoas não fazem o suficiente para proteger seus dados porque acham que não têm nada a perder. Se você permitir que seus funcionários usem seus dispositivos pessoais para tarefas relacionadas ao trabalho, é necessário garantir que eles estejam perfeitamente cientes de quão alto é o risco. Você também precisa impor regras sobre o que pode e o que não pode ser realizado a partir de um dispositivo pessoal, e você pode querer pensar em investir em um forte Gerenciamento de Acesso à Identidade (IAM).

       

        • Segurança física

      Se seus funcionários fizerem a maior parte do trabalho com a ajuda de computadores ou outros dispositivos eletrônicos, você pode pensar que esse item não é particularmente importante. Este não é o caso, no entanto. É claro que o acesso ao prédio e ao escritório em que sua empresa opera deve ser monitorado de perto, mas há outros fatores menos óbvios que precisam ser considerados.

      No ano passado, por exemplo, a Agência Havaiana de Gerenciamento de Emergências ganhou as manchetes depois que um jornalista acidentalmente fotografou um post-it que tinha uma senha escrita nele. Mesmo quando os dados estão em formato digital, eles ainda podem ser comprometidos no mundo físico. Em 2017, um funcionário do Heathrow perdeu um pendrive que continha "dados pessoais confidenciais". O pen drive acabou sendo encontrado e devolvido, mas o maior aeroporto do Reino Unido acabou pagando uma multa de cerca de £ 120 mil (cerca de R$ 556 mil na taxa de câmbio atual).

      Há muitos outros exemplos de dados sendo comprometidos no mundo real e é por isso que é importante ensinar aos seus funcionários que a segurança das informações que você coloca em um dispositivo de armazenamento portátil é tão importante quanto a segurança dos dados enviados on-line.

      O restante do programa de treinamento deve ter como objetivo tornar as tarefas específicas da empresa mais seguras e, mais uma vez, deve ser mais focado em exemplos do mundo real do que em conhecimentos teóricos. Antes que você possa iniciar, no entanto, você precisará estabelecer as bases, e nós achamos que a lista que você vê acima é um bom começo. O melhor de tudo é que se os seus funcionários souberem o que estão enfrentando, é mais provável que estabeleçam suas próprias regras e limites e se atenham a eles. Isso, por sua vez, torna o seu trabalho muito mais fácil.

July 31, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.