Como fortalecer o elemento humano da segurança cibernética

Nota: O seguinte artigo irá ajudá-lo com: Como fortalecer o elemento humano da segurança cibernética

A melhor defesa contra ataques cibernéticos não são as soluções tecnológicas de segurança cibernética, mas o fortalecimento do elemento humano, disse Perry Carpenter – veterano de segurança cibernética, autor e diretor de segurança evangelista da KnowBe4.

O relatório de investigações de violação de dados Business 2022 da Verizon revelou que o elemento humano continua a impulsionar as violações, respondendo por 82% de todos os ataques. E os ataques estão se tornando mais agressivos, com o ransomware saltando 13% em 24 meses, um aumento maior do que nos últimos cinco anos combinados.

“À medida que continuamos a acelerar em direção a um mundo cada vez mais digitalizado, soluções tecnológicas eficazes, estruturas de segurança fortes e um foco maior na educação desempenharão seu papel para garantir que as empresas permaneçam seguras e os clientes protegidos”, disse Hans Vestberg CEO e presidente da Verizon. .

O relatório da Verizon expõe o custo da influência humana. “As pessoas continuam – de longe – o elo mais fraco nas defesas de segurança cibernética de uma organização”, diz a empresa.

A KnowBe4, uma plataforma de treinamento de conscientização de segurança e phishing simulado, lançou recentemente um kit de recursos projetado para ajudar os profissionais de TI e Infosec a melhorar seu elemento humano de segurança. A organização disse que os profissionais de TI ainda são desafiados quando se trata de criar um programa de conscientização de segurança.

Carpenter, em contato com a TechRepublic, compartilhou as lições de segurança humana que aprendeu nos últimos anos. Ele alerta que, embora as estatísticas crescentes de segurança cibernética sejam uma grande preocupação, as empresas devem olhar além delas.

“Infelizmente, saber sobre ameaças de segurança cibernética é apenas metade da batalha. Fazer algo sobre eles – e, mais importante, fazer algo para evita eles – é onde você realmente deveria gastar seu tempo”, disse Carpenter. Ele explicou que mesmo aqueles envolvidos em esforços de conscientização de segurança sofrem de uma falha fatal: a lacuna de conhecimento-intenção-comportamento.

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

A lacuna conhecimento-intenção-comportamento

“Só porque os membros de sua equipe estão cientes de algo, não significa que eles vão se importar”, disse Carpenter. A lacuna de conhecimento-intenção-comportamento explica por que as violações continuam aumentando, apesar dos investimentos que as empresas fazem na criação de fortes programas de conscientização de segurança cibernética para todos os trabalhadores.

Segundo Carpenter, os trabalhadores podem estar cientes das ameaças e riscos, como trabalham e o que precisam fazer para evitá-los, mas ainda não tomam as medidas necessárias para manter a empresa segura.

Para reverter essa situação, as empresas devem fechar as lacunas entre conhecimento e intenção de incentivar comportamentos corretos entre suas forças de trabalho. Isso requer uma abordagem com a qual o setor de segurança cibernética altamente técnico luta – trabalhando com a natureza humana.

Trabalhando com a natureza humana

Programas eficazes de segurança cibernética trabalham com a natureza humana porque as organizações cibercriminosas se tornaram especialistas em manipulá-la. Os líderes podem estar se perguntando por que, se seus funcionários são informados, estão caindo em todos os tipos de golpes e campanhas de phishing?

A resposta, de acordo com Carpenter, não tem nada a ver com a inteligência dos funcionários. As técnicas mais bem-sucedidas para violar um sistema não dependem de malware sofisticado, mas de como eles manipulam as emoções humanas. Os invasores estão aproveitando a curiosidade natural, a impulsividade, a ambição e a empatia.

Outro método é a velha técnica de marketing de oferecer coisas de graça. As campanhas de anúncios em massa Clickbait podem ser incrivelmente eficazes e, para os cibercriminosos, são gateways para baixar malware e ransomware. Eles prometem dinheiro, oportunidades de investimento ou apenas uma lavagem de carro gratuita, sabendo que é muito difícil para os humanos resistir a uma oferta aparentemente inofensiva e atraente.

Outra tendência crescente manipula a empatia humana. Em 2020, o FBI alertou sobre esquemas de fraude emergentes relacionados ao COVID-19 e, em maio de 2022, o Internet Crime Complaint Center IC3 do FBI alertou que os golpistas estavam se ando por entidades ucranianas solicitando doações. Os criminosos não vão parar por nada e usar crises humanitárias ou eventos pós-desastres naturais para fabricar ataques de engenharia social.

Os cibercriminosos também estão criando ataques altamente personalizados usando informações de funcionários que obtêm por meio de mídias sociais e sites online. Além disso, sabendo que um empregador responde a um gerente, RH ou CEO de uma empresa, eles alavancarão esse relacionamento e se arão por pessoas de autoridade dentro da organização. “Eles enviam mensagens falsas do CEO com instruções para transferir fundos para uma conta de fornecedor falsa ou enganar os funcionários para outros esquemas fraudulentos de comprometimento de e-mail comercial (BEC)”, disse Carpenter.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Gestão de comunicação, comportamento e cultura

Carpenter explicou que as empresas devem fornecer treinamento contínuo de segurança para seus funcionários em três áreas:

  • Comunicação
  • Comportamento
  • Gestão da cultura

Ele compartilhou com a TechRepublic os principais pontos que os líderes podem usar para criar lições para cada seção.

Aulas de comunicação

  • Entenda seu público e o que eles valorizam.
  • Capture a atenção das pessoas e conecte-se com a emoção: tornando sua mensagem atraente. Não compartilhe apenas fatos, mas use histórias e exemplos para se conectar.
  • Tenha um call to action claro: diga às suas equipes, especificamente, o que elas precisam fazer.

Lições de comportamento

  • Reconheça a lacuna conhecimento-intenção-comportamento como uma realidade que afeta qualquer comportamento que você espera encorajar ou desencorajar. Os membros de sua equipe podem ter o conhecimento de que precisam e as melhores intenções, mas seu objetivo é, em última análise, impactar seus comportamentos.
  • As pessoas não são racionais. Precisamos ajudá-los com instruções, ferramentas e processos que tornem os comportamentos mais fáceis e pareçam mais naturais.
  • Coloque as ferramentas e o treinamento o mais próximo possível do ponto de comportamento.

Lições de gestão cultural

  • Entenda sua cultura como ela existe atualmente usando pesquisas de medição de cultura, grupos focais, observação e muito mais.
  • Identifique potenciais “portadores de cultura” que estão equipados e capacitados para ajudar a apoiar a mentalidade e os comportamentos que você deseja ver exibidos em toda a sua equipe.
  • Projete estruturas, pressões, recompensas e rituais que serão contínuos e abordem as diferenças únicas entre vários grupos.

Simulações de EPM e phishing

Em 2021, a IBM revelou que o custo médio de um ataque de endpoint é de US$ 4,27 milhões. À medida que os modelos de trabalho híbridos se tornam a norma e a superfície de ataque se expande com milhões de novos dispositivos conectados fora das redes corporativas, soluções de segurança cibernética como Endpoint Privilege Management (EPM) e simulações de phishing aumentam para responder às lacunas de segurança.

A Accenture destacou recentemente como os EPMs podem permitir que os usuários realizem seu trabalho com eficiência e segurança sem correr o risco de violações. Os EPMs fornecem aos endpoints um conjunto mínimo de privilégios, removendo direitos istrativos da base de usuários e controlando quais aplicativos podem ser executados. “Apenas aplicativos confiáveis ​​e verificados podem ser executados, e o fazem com o menor conjunto possível de privilégios”, explica a Accenture.

Outra ferramenta de segurança que está se tornando cada vez mais crítica para identificar vulnerabilidades do elemento humano e fortalecer as lacunas na educação dos usuários são as simulações de phishing. As equipes de TI simulam campanhas de phishing em simulações de phishing para visualizar como os funcionários respondem. Isso permite que as equipes testem sua postura de segurança, identifiquem pontos fracos e aprendam com as simulações.

“Mesmo quando você alcança resultados transformacionais, sua jornada raramente termina. Os maus atores continuarão a encontrar formas inovadoras de frustrar nossos melhores esforços. Sua resposta será adaptar-se constantemente e comprometer-se com um processo de melhoria contínua”, disse Carpenter.