As pessoas são o novo perímetro e um alvo preferencial para os atacantes. Basta considerar a pesquisa do “Relatório de investigações de violações de dados de 2022” da Verizon, que constatou que 82% das violações de dados envolvem o elemento humano.
Para reduzir o risco centrado em pessoas, a maioria das organizações investe na educação do usuário final. Algumas vão além da conformidade e do treinamento e seguem rumo à construção de uma cultura de cibersegurança que motive e qualifique os usuários para manter suas organizações seguras. Contudo, para muitas pessoas, o conceito de “cultura de cibersegurança” pode ser novo ou vago.
Nesta postagem de blog, definimos o que isso significa e discutimos como as organizações podem utilizar um modelo criterioso para reforçar seus programas de treinamento para conscientização quanto à segurança e impulsionar ainda mais a mudança de comportamento.
O que é a cultura de cibersegurança e por que ela é importante?
A Proofpoint descreve cultura de segurança como “ideias, valores e atitudes que impulsionam os comportamentos dos funcionários no sentido de proteger e defender a organização contra ataques cibernéticos”. É um fator preponderante no desenvolvimento de comportamentos positivos de segurança por duas razões principais:
- A postura geral de segurança da sua organização é melhorada quando os funcionários sentem-se responsáveis por ajudar a prevenir incidentes. A segurança é responsabilidade de todos; quando os funcionários se convencem disso, o resultado é mais vigilância e motivação para agir de forma apropriada.
- Ela ajuda a reduzir o risco humano. Uma cultura forte de cibersegurança promove mudanças de comportamento e ajuda os usuários a criar hábitos sustentáveis que estendem a proteção às suas vidas pessoais. Isso significa que os usuários já terão os hábitos necessários para frustrar as intenções maliciosas dos atacantes quando confrontados com ameaças fora do horário de trabalho, em dispositivos pessoais ou nos momentos mais inesperados.
Como avaliar
Na Proofpoint, nós encaramos a cultura de cibersegurança como a contribuição combinada de três fatores principais:
- Responsabilidade: os funcionários sentem que eles e seus colegas de trabalho são responsáveis por agir no sentido de evitar ameaças à cibersegurança?
- Importância: os funcionários acreditam que uma ameaça pode afetá-los pessoalmente?
- Capacitação: os funcionários sentem-se qualificados para identificar e denunciar comportamentos suspeitos?
Figura 1. As três dimensões de uma cultura de cibersegurança.
Para serem motivados a agir (ou seja, ajudar a manter a organização segura), os usuários precisam acreditar que ameaças e comprometimentos organizacionais são problemas que podem afetá-los pessoalmente. Eles também precisam reconhecer a importância de proteger a organização. Além disso, eles precisam ser capacitados com as ferramentas e o conhecimento certos para identificar ameaças e sentirem-se responsáveis por fazer a parte que lhes cabe para evitar que ataques perturbem ou causem danos à organização.
Para diagnosticar a probabilidade de que um funcionário tenha tanto capacidade quanto motivação para prevenir um ataque contra sua organização, a Proofpoint criou uma pesquisa de cultura de cibersegurança para avaliar cada uma das três dimensões descritas acima. Essa pesquisa concisa pode ajudar as equipes de segurança a medir e quantificar facilmente o estado atual da cultura de segurança de sua organização. Ela também permite que eles motivem e capacitem as pessoas adequando sua mensagem e sua educação.
A Proofpoint seguiu os princípios abaixo ao desenvolver a pesquisa:
- Pragmática: resultados claramente interpretáveis
- Breve: pode ser concluída em um período de tempo razoável
- Focada: cada pergunta aborda apenas uma única ideia
- Inequívoca: todas as perguntas são diretas e evitam jargões
- Confiável: oferece os mesmos resultados quando testada sob condições semelhantes
- Válida: mede exatamente o que se propõe a medir
- Imparcial: minimiza resultados tendenciosos
Ao iniciar uma avaliação da cultura, certifique-se de que ela seja breve e simples, para que os usuários sintam-se dispostos a responder em meio a suas demais tarefas. Enfim, decida previamente a frequência de administração da avaliação para que você possa decidir a melhor maneira de implementá-la, obter pontos de dados regulares e modificar o seu programa com base nos resultados recebidos.
Como avaliações da cultura ajudam a reforçar programas de conscientização quanto à segurança?
Avaliações da cultura são necessárias para auferir o sentimento dos usuários e planejar iniciativas futuras que tenham repercussão junto aos usuários. Enquanto avaliações de conhecimentos medem o que os usuários sabem e ameaças simuladas, como phishing, medem o que os usuários fazem, avaliações da cultura são uma maneira eficaz de medir no que os usuários acreditam.
Saber no que os usuários acreditam contribui muito para ajudar as equipes de cibersegurança a determinar quais mudanças em sua mensagem ou nas atribuições de treinamento devem ser feitas para diferentes grupos de usuários. Lembre-se de que uma cultura de cibersegurança forte depende do quão investidos e motivados estão os usuários, o que afeta diretamente seu comportamento quando estão diante de ameaças.
Figura 2. Avaliações da cultura preenchem lacunas nos componentes de programas de segurança bem-sucedidos.
Como criar uma cultura de cibersegurança mais robusta hoje mesmo
É essencial para as organizações dispor de programas multifacetados de conscientização quanto à segurança que levem em consideração o que os usuários sabem, as ações que eles executam no mundo real e no que eles acreditam. O que os usuários acham e pensam sobre as funções que desempenham na conscientização quanto à segurança pode afetar e ajudar a reduzir o risco nas organizações — e avaliações da cultura podem ajudar.
Para ter mais ideias sobre o que considerar ao reforçar a sua cultura de conscientização quanto à segurança, veja este webinar sobre avaliação de cultura do Dr. Bob Hausmann, arquiteto de avaliação e aprendizagem da Proofpoint.