Conscientização sobre segurança cibernética para funcionários: dicas e práticas recomendadas
A maior tragédia com o avanço científico e tecnológico é que ele avança a um ritmo muito mais rápido do que a sabedoria coletiva da sociedade. É o que disse essencialmente Isaac Asimov há algumas décadas ao comentar sobre a relação entre ciência e sociedade.
Avançando para hoje, a internet se tornou um componente essencial de praticamente todos os aspectos da vida moderna, desde a esfera pessoal até a profissional. Apesar de nossa crescente dependência da internet, é surpreendente que a conscientização sobre segurança cibernética permaneça amplamente ignorada.
Em um nível pessoal, um indivíduo pode ser desculpado por não entender as boas práticas de segurança cibernética. Mas, no nível corporativo, a negligência das empresas e a recusa em promover a conscientização sobre segurança cibernética entre os funcionários é no mínimo espantosa.
De acordo com um relatório publicado pela Chubb, apenas 31% dos funcionários entrevistados relataram ter recebido educação e treinamento em segurança cibernética em toda a empresa.
À medida que a pandemia de covid-19 aumenta a necessidade de conectividade online para a maioria das empresas, o aumento do risco de violações de segurança é muito alto para ser encarado de ânimo leve. Portanto, este é um momento crítico para as empresas. Se a importância do treinamento e da conscientização sobre segurança cibernética continuar a ser minimizada, as empresas sofrerão o impacto dos ataques digitais. Em uma economia instável, isso pode ter consequências devastadoras.
Meu objetivo ao escrever este artigo foi desempenhar um pequeno papel na promoção de um senso de urgência sobre a necessidade de as empresas investirem em treinamento de segurança cibernética de seus funcionários. Em vez de construir argumentos em favor da minha tese, como é meu estilo habitual ao escrever artigos sobre essas questões, decidi convidar profissionais de segurança e compartilhar suas ideias sobre essa questão premente, mas muitas vezes ignorada de nossos tempos.
O que se segue são as citações de vários são os pensamentos de vários profissionais da indústria a quem sou grato por compartilhar seus insights conosco.
Por que o treinamento de segurança cibernética é importante (de acordo com especialistas)
Nancy Sabino — CEO e cofundadora da SabinoCompTech
Os funcionários serão a primeira linha de defesa no combate à ameaça à segurança cibernética. Se não souberem quais são as ameaças, como percebê-las e o que fazer a respeito, tornam-se um risco e não uma fonte de prevenção. Quando você avalia o risco em sua organização, ter funcionários conhecedores e cientes do que estão procurando e como responder rapidamente se algo acontecer mudaria significativamente o controle para reduzir seu risco. Estabelecer a prevenção é sempre melhor do que lidar com a remediação, que pode ser extremamente cara e demorada.
Eu, pessoalmente, aproveito o treinamento contínuo que minha empresa oferece para aprimorar minhas habilidades e acompanhar as novas tendências à medida que elas aparecem. Também oferecemos isso a todos os nossos clientes para que eles também possam nos ajudar a ser proativos. Valeu a pena porque a conscientização por si só curvou o número de cliques que acontecem nos e-mails, bem como a quantidade de dados inseridos nos e-mails de phishing, etc.
John Svazic – Fundador e Consultor Principal da EliteSec
Goste ou não, os funcionários continuam sendo o vetor número 1 para as partes mal-intencionadas quando desejam obter acesso à sua empresa. Por meio dos e-mails de phishing usuais para “vishing" (phishing de voz), eles se aproveitam da boa natureza de um funcionário para obter acesso aos dados, finanças ou segredos comerciais de uma organização.
Eu tenho feito e dado treinamento em segurança cibernética por muitos anos, e posso dizer que é indispensável se feito corretamente. Não dê apenas a seus usuários finais um vídeo de 30 minutos ou um módulo de treinamento baseado em computador – forneça a eles exemplos do que pode acontecer se eles caírem em um desses e-mails. Qual é o efeito a jusante? O que pode acontecer com o indivíduo? Isso é muito mais útil do que apenas dizer aos funcionários: “Não clique em links ou baixe anexos de e-mails suspeitos”.
Steven Weisman – especialista em segurança cibernética e professor da Bentley University
As empresas são tão seguras quanto seus funcionários praticando a menor quantidade de práticas de segurança cibernética. Ataques cibernéticos, como ransomware, violações de dados e roubo de propriedade intelectual importante, bem como o comprometimento de e-mail comercial, podem ter efeitos devastadores nas empresas. Sou especialista em segurança cibernética e professor da Bentley University, onde leciono White Collar Crime. Também escrevo o blog Scamicide, onde todos os dias forneço informações atualizadas sobre os últimos desenvolvimentos de segurança cibernética.
Na Bentley, a segurança cibernética é uma prioridade e o treinamento, em particular para reconhecer e-mails de spear phishing e praticar conceitos básicos de segurança cibernética, como não clicar em links, a menos que tenham sido confirmados como legítimos, é continuamente enfatizado. Quando esse treinamento é feito sem julgamento e de maneira útil, é muito eficaz.
Andy Sauer – especialista em segurança cibernética na Steel Root
A conscientização sobre segurança cibernética é importante para os funcionários em um ambiente organizacional porque o COVID-19 mudou completamente o cenário, tornando a segurança cibernética uma ameaça comercial muito maior do que nunca. Isso se deve ao aumento significativo de pessoas que estão em regime de teletrabalho; o que leva aos seguintes fatores:
- Mudanças comportamentais: trabalhando fora do local, os funcionários tendem a ficar mais relaxados e mais propensos a baixar a guarda – talvez até respondendo a e-mails projetados para fornecer acesso a dados a hackers. Além disso, com o aumento dos níveis de estresse, a equipe pode estar mais inclinada a ser reativa e menos estratégica em suas ações.
- Mudanças situacionais: Trabalhar em locais diferentes, instruções de segurança e regras de acesso podem cair no esquecimento. Isso pode resultar em uma supervisão menos rigorosa das transações e outros fluxos de trabalho importantes.
- Mudanças tecnológicas: De repente, as empresas são forçadas a estender seus firewalls além dos limites físicos de seus escritórios. Os sistemas da empresa estão sendo acessados de uma ampla variedade de dispositivos, até mesmo dispositivos pessoais. Essas mudanças podem levar a comprometimento, expansão de dados e outros desafios.
Chris Silbaugh – VP de Desenvolvimento de Negócios da CyberKnights
Participei do treinamento de segurança cibernética, bem como do treinamento, e a parte mais importante de atrair o público é ajudá-los a entender os impactos negativos, como informações pessoais perdidas ou roubadas, informações relacionadas aos negócios e penalidades legais que resultam em perdas financeiras. Ajude as pessoas a entenderem as consequências primeiro, para que dediquem um tempo para aprender como evitar que tais consequências ocorram
Steven M. Solomon – Vice-presidente da SecurIT360
A conscientização sobre segurança cibernética reduz o risco de um incidente de segurança de alto impacto que pode prejudicar os negócios. Na minha experiência, fornecer educação em segurança e treinamento de conscientização é uma atividade valiosa que é vista por muitos líderes empresariais como uma redução de custos. Ele lembra formalmente aos funcionários que existem políticas e procedimentos de segurança importantes a serem considerados ao realizar o trabalho e define as consequências de não seguir uma boa higiene cibernética. Com a prevalência de ameaças e os altos custos dos incidentes de segurança, os funcionários devem estar atentos em suas atividades diárias.
Cindy Murphy – Presidente de Forense Digital na Tetra Defense
Programas de conscientização e iniciativas de treinamento de segurança de funcionários são extremamente importantes para proteger os dados confidenciais que as organizações possuem. Sou um defensor do fornecimento de treinamento de segurança cibernética para que os funcionários sejam configurados para reconhecer atividades maliciosas. Por exemplo, os golpistas ainda usam predominantemente e-mail para enganar suas vítimas. O que há de novo nesta era são as mensagens fraudulentas nos e-mails: o CDC pede doações em Bitcoin. Seus Documentos de Alívio Fiscal COVID-19 estão disponíveis neste site (falso). Um médico da Organização Mundial da Saúde tem “aconselhamento de drogas” se você clicar aqui. Isso é o pior da engenharia social – e, infelizmente, é mais provável que funcione nesses tempos incertos.
As pessoas não se tornaram mais crédulas nos últimos três meses e meio; eles se acostumaram a grandes mudanças em pequenas mensagens. Quando a próxima manchete pode ser uma questão de segurança ou doença, é muito mais fácil acreditar nas informações que aparecem diretamente na sua caixa de entrada.
Mark Soto – CEO da Cybericus
Uma das maiores razões pelas quais a conscientização sobre segurança cibernética é importante para os funcionários é devido ao fato de que a grande maioria das violações de dados (varia entre 60-80% dependendo da fonte) se deve a erros internos de funcionários e quase (30%-40% mesmo motivo acima) de violações de dados é devido a funcionários internos mal-intencionados. Seus funcionários precisam estar cientes dos fundamentos da segurança cibernética, dos perigos cibernéticos fora da empresa e dentro dela. Geralmente trabalhamos com empresas depois de serem atacadas, mas definitivamente consideramos que vale a pena treinar em segurança cibernética.
Você pode gastar milhões de dólares no melhor software de segurança cibernética altamente avançado para sua empresa, mas se seus funcionários não tiverem conhecimento suficiente sobre as melhores práticas, você estará apenas desperdiçando seu dinheiro. Há muito software que pode fazer para evitar ataques devido a erro humano e se o seu funcionário não sabe por que não deve conectar pendrives aleatórios em seu computador ou não clicar em links de e-mail aleatórios de endereços de e-mail duvidosos, então você estão fadados a ser hackeados, não importa que tipo de software ou tecnologia você esteja usando.
Marty Puranik – Presidente e CEO da Atlantic.net
Uma grande tendência que estamos vendo agora e que realmente não existia anos atrás é o treinamento de segurança cibernética dos funcionários. Isso deve fazer parte da cultura da sua empresa e, quanto mais difundida na sua empresa, mais as pessoas a comprarão. Tente incluir seu CIO ou gerente de TI durante o processo de integração para realmente mostrar aos novos funcionários a importância da segurança em seu novo local de trabalho. Para funcionários de longa data, assegure-se de que sua mensagem seja transmitida por meio de seus líderes de equipe. Tente ficar longe de e-mails longos e memorandos que muitos funcionários vão ler as primeiras frases antes de excluir.
Em vez disso, tente criar alguns vídeos, ou talvez pendure alguns infográficos nas principais áreas do escritório, como a sala de descanso, perto do bebedouro e até mesmo no banheiro. Mesmo que seus funcionários não estejam tão interessados em segurança, a leitura repetida de frases e ações em forma visual os ajudará a se lembrar dessas mensagens quando algo fora do comum ocorrer online.
Nick Santora – CEO de Currículos
De acordo com vários relatórios, houve um aumento de 500% nos ataques cibernéticos desde o surto de Coronavírus. Hackers e maus atores estão se aproveitando desse momento infeliz pelo qual todos estamos passando. Vimos tantos ataques de phishing direcionados a funcionários que agora fazem parte de uma enorme força de trabalho remota, e a falta de treinamento em segurança cibernética é aparente.
A estratégia de segurança cibernética nº 1 mais eficaz é treinar seus funcionários em todos os níveis da empresa sobre o que procurar em um e-mail suspeito, um possível golpe de phishing ou até mesmo um ataque de ransomware.
Dr. Al Marcella – CISAM, CISA, Presidente da Business Automation Consultants
Costumávamos dizer que “conhecimento é poder”, no entanto, em nosso mundo globalmente conectado, sempre ligado, 24 horas por dia, 7 dias por semana, dependente de informações, os dados são uma mercadoria – os dados têm valor. Não é mais o conhecimento que gera poder, mas, hoje, “informação é poder”. Um funcionário que não age de forma responsável para proteger e proteger os ativos de informação da organização, invariavelmente coloca a organização em risco… financeiramente, competitivamente, legalmente.
Forneço treinamento em segurança cibernética há mais de 35 anos. O treinamento que faz um funcionário parar e pensar antes de clicar em um e-mail externo, fornecer informações a um chamador, abrir um link da web, escanear um código QRC ou realizar qualquer ação que possa colocar a si mesmo ou sua organização em risco, é positivo, receptivo, treinamento oportuno e proativo.
A segurança cibernética não é apenas para a equipe técnica/de TI
Percebi que, muitas vezes, as discussões sobre o treinamento de segurança cibernética tendem a supor que apenas a equipe técnica precisa ser bem versada nas melhores práticas de segurança. Mas isso ignora o fato de que, mesmo que as pessoas responsáveis por projetar as redes de uma empresa façam um trabalho completo para minimizar os riscos, basta que uma pessoa em uma empresa clique no link errado para desfazer tudo isso.
Há uma necessidade de matar essa ideia e tornar a conscientização sobre segurança cibernética um programa abrangente. Veja o que alguns especialistas têm a dizer sobre esse problema:
Dr. Tom Keenan – Professor da Universidade de Calgary
Até os recepcionistas precisam de treinamento e conscientização sobre segurança cibernética!
Jamais esquecerei o “Social Engineering Challenge” na DEF CON há alguns anos, onde o objetivo era extrair informações das concessionárias de carros, supostamente porque elas seriam apresentadas como um falso “Concessionário do Mês”.
Recepcionistas desistiram de coisas como “qual versão do Windows sua empresa roda?”, “Qual é o nome e e-mail do seu diretor financeiro?” e até mesmo “Em que dia seu lixo é coletado?”, tudo útil para hackers e ladrões de identidade .
Então, quando vou a uma empresa para fazer um treinamento de conscientização sobre segurança cibernética, geralmente tenho uma boa conversa com a recepcionista e posso contar ao CIO e ao CEO todos os tipos de coisas interessantes sobre a empresa. Funciona sempre!
Gabe Turner – Especialista em segurança cibernética da Security.org
Acredito que o treinamento deva ser voltado para qualquer tipo de funcionário que utilize dispositivos eletrônicos para fins relacionados à empresa, principalmente se utilizar a Internet. Embora o pessoal de TI obviamente seja contratado se houver alguma violação de dados, o treinamento dos próprios funcionários é uma medida preventiva versus uma medida reativa, diminuindo a chance da empresa de ter uma violação de dados em primeiro lugar.
Ilia Sotnikov – vice-presidente de gerenciamento de produtos da Netwrix
Sessões regulares de treinamento para todas as equipes, da equipe de TI a não funcionários de TI, ajudarão sua equipe a entender melhor como devem reagir às atividades dos hackers. Por exemplo, se você incluir informações sobre phishing e os golpes mais recentes, há uma chance de que os funcionários não cliquem em links suspeitos em e-mails e enviem essas mensagens para a equipe de TI.
Além disso, essas sessões de treinamento ajudarão os funcionários de todos os níveis e de todos os departamentos a entender que eles são pessoalmente responsáveis pela postura de segurança da organização, o que pode ajudá-los a ficar mais vigilantes. Isso pode não eliminar totalmente o risco de violações de dados, mas você certamente terá uma melhor cultura no local de trabalho e seus dados e sistemas estarão mais protegidos.
Darren Deslatte – Líder de Operações de Vulnerabilidade na Entrust Solutions
O programa de treinamento de segurança cibernética da sua empresa deve abranger absolutamente todos os funcionários. Quase 90% dos ataques cibernéticos são causados por erro humano ou negligência. Uma das melhores maneiras de vencer essas probabilidades é garantir que todos em sua organização entendam sua responsabilidade em manter sua empresa cibersegurança, desde o CEO até o contratado remoto.
Principais tópicos a serem incluídos em um programa de treinamento de segurança cibernética
Para que um plano de segurança cibernética seja eficaz, o programa de treinamento deve ser projetado adequadamente para incluir tópicos que contribuam efetivamente para a conscientização dos funcionários sem fazê-los se sentirem sobrecarregados. Este é o consenso geral dos especialistas que deram suas opiniões sobre este tema:
Chris Silbaugh – VP de Desenvolvimento de Negócios da CyberKnights
Há uma variedade de tópicos de segurança cibernética nos quais os funcionários devem ser treinados e, em última análise, deve depender da posição em que o funcionário está. responsabilidade primária de gerenciar a rede de empresas de alguma forma.
Os funcionários que são mais usuários médios da rede da empresa devem ter outra forma de treinamento que se concentre em uma abordagem mais simples para gerenciar a segurança do domínio. Por fim, o treinamento não deve ser em formatos longos que possibilitem ao funcionário perder a atenção rapidamente. O treinamento deve ser realizado com frequência, mas com duração mais curta. O culminar de um ano de treinamento será um processo melhor do que algumas horas dedicadas de uma só vez.
Nick Santora – CEO de Currículos
Alguns tópicos importantes de treinamento de conscientização sobre segurança cibernética seriam:
1 Phishing – A maioria dos ataques cibernéticos contra uma organização virá por meio de phishing por e-mail. Os funcionários precisam entender como identificar um ataque de phishing e se defender contra não clicar em links suspeitos em um e-mail.
2 Proteção por senha – Os funcionários devem entender como criar senhas fortes, como não usar senhas fáceis de adivinhar como ‘1234'.. Eles também devem entender o risco de reutilização de senha entre contas pessoais e corporativas, como usar gerenciador de senhas (‘cofre') e saiba por que as senhas são tão importantes para proteger suas contas online.
3 Segurança da Informação – “InfoSec” trata da proteção dos ativos de informação digital da sua organização. Os funcionários devem entender que acessar informações é um privilégio e que o acesso ‘necessário' deve ser praticado em todos os momentos. O compartilhamento de dados confidenciais fora da organização deve ser levado muito a sério e os funcionários devem conhecer a política de proteção de informações da sua organização.
4 Ransomware – Ransomware é um software malicioso que criptografa dados em um computador até que uma quantia em dinheiro seja paga ao hacker, e é uma das ameaças mais populares direcionadas a empresas em todo o mundo. Se o resgate não for pago, seu computador e todos os seus dados serão irrecuperáveis. A melhor maneira de se defender contra o ransomware é impedir que isso aconteça em primeiro lugar.
Dr. Al Marcella – CISAM, CISA, Presidente da Business Automation Consultants
Os dados são um ativo – e têm valor para a empresa. Os funcionários precisam ser treinados para considerar os dados como um ativo corporativo crítico que deve ser protegido.
Risco cibernético. Quem são os agentes de ameaças que buscam obter acesso não autorizado aos ativos de dados críticos da empresa? Quais são as vulnerabilidades dentro da empresa que um agente de ameaças pode aproveitar? Qual é a possibilidade de o agente da ameaça tirar vantagem da vulnerabilidade? Qual é o impacto (financeiro, legal, reputacional) para a organização, se isso ocorrer? Qual é o papel de cada funcionário na mitigação desses riscos cibernéticos?
Segurança de Rede. Os funcionários só devem se conectar à Internet e às redes da empresa por meio de um serviço de Rede Privada Virtual, mantendo assim as trocas de funcionários privadas.
Criptografia. Eduque os funcionários sobre como implementar e usar consistentemente protocolos de criptografia fortes para proteger ativos de dados digitais críticos da organização.
Hijinks cibernéticos. Treinamento consistente e informações atualizadas sobre golpes cada vez mais sofisticados, ataques de phishing, manobras de engenharia social, e-mails falsos e sites tentadores… tudo projetado para atrair um funcionário a divulgar, clicar, agir ou responder a informações fictícias, artificiais e enganosas.
David Shrier – Diretor de Programa da Oxford Cyber Futures da Universidade de Oxford em parceria com a Mastercard
Os funcionários precisam ser treinados em um núcleo de higiene cibernética e ter uma maior conscientização sobre questões mais amplas, como segurança e privacidade de dados e ética cibernética – todas as quais criam riscos e abrem oportunidades para as empresas. A Oxford Cyber Futures, por exemplo, primeiro constrói uma base cibernética forte e depois se estende à identidade digital, IA preditiva, banco aberto e outras áreas de crescimento.
Para que uma empresa colabore efetivamente em cibernética, ela precisa desenvolver capacidade cibernética em todas as áreas funcionais da organização, não apenas na equipe de TI. Muitas vezes, o ciberespaço se torna impenetrável ou assustador em termos de como é ensinado, portanto, em nosso programa com Oxford, procuramos desmistificar a complexidade e ajudar os profissionais de negócios a entender o potencial de impacto tangível na receita e no lucro.
Heinrich Long – Especialista em Privacidade na Restaurar Privacidade
Quando se trata de treinamento de segurança cibernética para funcionários, recomendo fortemente o uso de um provedor de treinamento profissional terceirizado. Se você não conseguir encontrar uma boa opção para sua empresa, é importante abordar os seguintes tópicos:
1) Identificar as potenciais ameaças e riscos online para o seu negócio.
2) Os processos e ferramentas necessários para evitar violações de dados, incluindo gerenciamento de documentos, senha e higiene de segurança.
3) Uso seguro da internet e como identificar links suspeitos.
4) Uso seguro de e-mail e como evitar phishing.
5) Uso responsável das mídias sociais.
6) Proteger o hardware da empresa, como laptops, desktops e dispositivos portáteis.
É importante capacitar sua força de trabalho para identificar ameaças cibernéticas comuns e fornecer a eles as ferramentas para evitar violações de dados
Promovendo uma cultura de conscientização e práticas recomendadas de segurança cibernética
Andrew Ryan – Fundador e Diretor CEO da Newtec Services
Na Newtec Services, consideramos o software antivírus ou antimalware o primeiro passo para empresas que desejam manter seus dados seguros. Os gerentes também devem tomar as seguintes precauções:
- Certifique-se de que todos os seus softwares estejam atualizados. Recomendamos segurança baseada em nuvem para nossos clientes.
- Implemente a segurança de ponta a ponta. Isso significa garantir que todos os dados, incluindo mensagens, vídeos, etc., sejam totalmente criptografados.
- Treine os funcionários para acompanhar os requisitos de segurança mais rigorosos. Vá além das políticas de segurança interna e treine os funcionários em segurança detalhada específica para a função de cada funcionário.
A pilha de tecnologia básica do trabalhador remoto precisa incluir essas coisas para aumentar a segurança:
- Segurança do endpoint
- Rede Privada Virtual
- Segurança para celulares
Steve Tcherchian – Diretor de Segurança da Informação da XYPRO ,
Para que um programa de segurança cibernética seja bem-sucedido, os seguintes são os principais componentes
- Suporte de cima para baixo. Se a iniciativa não for importante e apoiada nos níveis mais altos da organização, está fadada ao fracasso. A conscientização sobre segurança cibernética não é mais apenas “um problema de TI”. É um risco de negócios e precisa ser tratado dessa forma.
- Envolva seus funcionários. Dê a eles a propriedade do processo. Torná-los parte da solução. Os funcionários são sempre mais engajados e apoiam a iniciativa se sentirem que têm pele no jogo.
- Gamificar o processo. Torná-lo divertido. Todo mundo adora a competição, e um processo saudável para gamificar a experiência garantirá que você obtenha a participação da maioria das pessoas – até mesmo dos pessimistas.
David B. Rounds – CEO da NetEffect
A conscientização sobre segurança cibernética é um tópico importante nos dias de hoje. Como você garante que seus funcionários tenham consciência cibernética? Começa de cima e é como qualquer outra política ou processo que uma empresa tenha. Deve haver uma conscientização e foco na segurança no nível executivo. As preocupações devem ser articuladas em conversas com todos os funcionários até o funcionário mais básico, usando apenas sistemas de e-mail ou acesso a um aplicativo da empresa. Esta é a base para toda a cultura da empresa.
Você também precisa ter um programa de treinamento. Seja algo entregue em casa por funcionários experientes ou RH, ou melhor ainda, as empresas podem encontrar um programa de conscientização sobre segurança cibernética. Há muitos por aí. Alguns são tão baratos quanto alguns dólares por mês por usuário. Esses programas podem incluir coisas como “Micro-Treinamentos” curtos de 2 a 5 minutos, tentativas simuladas de phishing por e-mail e até mesmo rastreamento de conscientização de segurança cibernética dos funcionários e monitoramento de reconhecimento de políticas da empresa para quaisquer políticas da empresa.
Pode ser divertido também! Alguns dos sistemas mostram pontuações de segurança anônimas onde os funcionários podem competir para ver quem é o mais alto.
Chloé Messdaghi – Vice-presidente de Estratégia da Point3 Security
Phishing suas próprias empresas é uma boa prática recomendada. Acredito firmemente em garantir que as pessoas saibam o que é phishing e como ficar de olho nele. Peça para alguém fazer um teste de phishing. Existem empresas que você pode contratar para ajudar com isso e ajudar a implementar um programa de treinamento e conscientização sobre segurança cibernética. Eu sugeriria phishing em sua equipe ao longo do ano e que seus companheiros de equipe fizessem a mesma coisa, por exemplo, configurar uma persona falsa; conta de e-mail que está sob o nome do seu chefe (com permissão, é claro!) o link foi usado)…
Muitas pessoas pensam que implementar práticas de segurança dá muito trabalho. O fato é que, se um invasor conseguir chegar a apenas um de seus funcionários, ele poderá ter acesso à sua operação e às informações confidenciais, portanto, a quantidade de trabalho que pode estar envolvida vale a pena para evitar uma possível catástrofe. Certifique-se de que seus funcionários entendam isso ao máximo. Realize testes de phishing como um jogo, envolva os funcionários “jogando” enquanto ainda reforça a importância de estar ciente e permanecer seguro não apenas como indivíduo, mas como uma parte potencialmente vulnerável da empresa como um todo.
Terminando
Se você não está sobrecarregado com todos os conselhos e insights de especialistas acima, aqui está uma declaração concisa de dicas que todos os funcionários e organizações devem seguir no interesse das boas práticas de segurança cibernética:
Paul Howard – Coordenador de Investigação de Desenvolvimento de Negócios do Smith Training Center e The Smith Investigation Agency
Mantenha sua mesa limpa; não use seu dispositivo pessoal para negócios; gerenciar seus dados; usar soluções de armazenamento externo; praticar hábitos seguros de internet; tenha muito cuidado com sua senha; limitar o quanto você compartilha em sites de redes sociais e estar ciente de suas vulnerabilidades; cuidado com golpes de e-mail; esteja ciente do que é malware; e, por último, sempre obtenha aconselhamento especializado de um profissional de TI se você questionar algo que pareça fora de lugar.