Os incidentes de phishing estão aumentando. Um relatório da IBM mostra que o phishing foi o vetor de ataque mais popular em 2021, resultando em um em cada cinco funcionários vítimas de técnicas de phishing hacking.
A Necessidade de Treinamento de Conscientização sobre Segurança
Embora as soluções técnicas protejam contra ameaças de phishing, nenhuma solução é 100% eficaz. Consequentemente, as empresas não têm escolha a não ser envolver seus funcionários na luta contra os hackers. É aqui que o treinamento de conscientização de segurança entra em jogo.
O treinamento de conscientização de segurança dá às empresas a confiança de que seus funcionários executarão a resposta certa quando descobrirem uma mensagem de phishing em sua caixa de entrada.
Como diz o ditado, “conhecimento é poder”, mas a eficácia do conhecimento depende muito de como ele é entregue. Quando se trata de ataques de phishing, as simulações estão entre as formas mais eficazes de treinamento porque os eventos nas simulações de treinamento imitam diretamente como um funcionário reagiria no caso de um ataque real. Como os funcionários não sabem se um e-mail suspeito em sua caixa de entrada é uma simulação ou uma ameaça real, o treinamento se torna ainda mais valioso.
Simulações de Phishing: O que o treinamento inclui?
É fundamental planejar, implementar e avaliar um programa de treinamento de conscientização cibernética para garantir que ele realmente mude o comportamento dos funcionários. No entanto, para que esse esforço seja bem-sucedido, deve envolver muito mais do que apenas enviar e-mails aos funcionários. As principais práticas a serem consideradas incluem:
- Simulações de phishing da vida real.
- Aprendizagem adaptável – resposta ao vivo e proteção contra ataques cibernéticos reais.
- Treinamento personalizado com base em fatores como departamento, cargo e nível de experiência cibernética.
- Capacitar e equipar os funcionários com uma mentalidade de segurança cibernética sempre ativa.
- Campanhas orientadas por dados
Como os funcionários não reconhecem a diferença entre simulações de phishing e ataques cibernéticos reais, é importante lembrar que as simulações de phishing evocam emoções e reações diferentes, portanto, o treinamento de conscientização deve ser realizado com atenção. Como as organizações precisam engajar seus funcionários para combater os ataques cada vez maiores e proteger seus ativos, é importante manter o moral elevado e criar uma cultura positiva de higiene cibernética.
Três erros comuns de simulação de phishing.
Com base em anos de experiência, pesquisadores viram empresas caírem nesses erros comuns.
Erro nº 1: Testar em vez de educar
A abordagem de executar uma simulação de phishing como um teste para capturar e punir “infratores reincidentes” pode fazer mais mal do que bem.
Uma experiência educacional que envolve estresse é contraproducente e até traumática. Como resultado, os funcionários não passarão pelo treinamento, mas procurarão maneiras de contornar o sistema. No geral, a “abordagem de auditoria” baseada no medo não é benéfica para a organização a longo prazo porque não pode fornecer o treinamento necessário por um período prolongado.
Solução nº 1: seja sensível
Como manter o moral positivo dos funcionários é fundamental para o bem-estar da organização, forneça treinamento positivo just-in-time.
O treinamento just-in-time significa que, uma vez que os funcionários clicam em um link dentro do ataque simulado, eles são direcionados para uma sessão de treinamento curta e concisa. A ideia é educar rapidamente o funcionário sobre seu erro e dar dicas essenciais sobre como identificar e-mails maliciosos no futuro.
Essa também é uma oportunidade para reforço positivo, portanto, certifique-se de manter o treinamento curto, conciso e positivo.
Solução nº2: Informe os departamentos relevantes.
Comunique-se com as partes interessadas relevantes para garantir que estejam cientes do treinamento contínuo de simulação de phishing. Muitas organizações se esquecem de informar as partes interessadas relevantes, como RH ou outros funcionários, que as simulações estão sendo realizadas. A aprendizagem tem o melhor efeito quando os participantes têm a oportunidade de se sentir apoiados, cometer erros e corrigi-los.
Erro nº 2: Use a mesma simulação para todos os funcionários
É importante variar as simulações. Enviar a mesma simulação para todos os funcionários, principalmente ao mesmo tempo, além de não ser instrutivo, também não possui métricas válidas quando se trata de risco organizacional.
O “efeito de advertência”, o primeiro funcionário a descobrir ou cair na simulação avisa os demais. Isso prepara seus funcionários para responder à “ameaça” antecipando a simulação, evitando assim a simulação e a oportunidade de treinamento.
Outro impacto negativo é o viés de conveniência social, que faz com que os funcionários relatem em excesso os incidentes à TI sem percebê-los para serem vistos de forma mais favorável. Isso leva a um sistema sobrecarregado e ao departamento de TI.
Essa forma de simulação também leva a resultados imprecisos, como taxas de cliques irreais e taxas de excesso de relatórios. Assim, as métricas não mostram os riscos reais da empresa ou os problemas que precisam ser abordados.
Erro nº 3: confiar em dados de uma única campanha
Com mais de 3,4 bilhões de ataques de phishing por dia, é seguro supor que pelo menos um milhão deles diferem em complexidade, linguagem, abordagem ou até mesmo táticas.
Infelizmente, nenhuma simulação de phishing pode refletir com precisão o risco de uma organização. Confiar em um único resultado de simulação de phishing provavelmente não fornecerá resultados confiáveis ou treinamento abrangente.
Outra consideração importante é que diferentes grupos de funcionários respondem de forma diferente às ameaças, não apenas por causa de sua vigilância, treinamento, posição, tempo de serviço ou até mesmo nível de educação, mas porque a resposta a ataques de phishing também é contextual.
Solução: Implemente uma variedade de programas de treinamento
A mudança de comportamento é um processo evolutivo e, portanto, deve ser medida ao longo do tempo. Cada sessão de treinamento contribui para o progresso do treinamento. A eficácia do treinamento, ou em outras palavras, um reflexo preciso da mudança real de comportamento organizacional, pode ser determinada após várias sessões de treinamento e ao longo do tempo.
A solução mais eficaz é realizar continuamente vários programas de treinamento (pelo menos uma vez por mês) com várias simulações.
É altamente recomendável treinar os funcionários de acordo com seu nível de risco. Um programa de simulação diversificado e abrangente também fornece dados de medição confiáveis com base no comportamento sistemático ao longo do tempo. Para validar seus esforços de treinamento eficaz, as organizações devem ser capazes de obter uma indicação válida de seu risco em qualquer momento enquanto monitoram o progresso na redução de risco.
REFERÊNCIAS:
https://thehackernews.com/2022/08/three-common-mistakes-that-may-sabotage.html
https://www.ibm.com/security/data-breach/threat-intelligence/