Em termos gerais, podemos dizer que o treinamento de conscientização de segurança seria a garantia de que os indivíduos entendam e sigam certas práticas para ajudar a garantir a segurança de uma empresa. Nessa perspectiva, o treinamento de conscientização de segurança existe praticamente desde sempre, especialmente quando você considera a necessidade de segurança em aplicações militares.
Hoje, o treinamento de conscientização de segurança enfatiza a segurança da informação e, especialmente, a cibersegurança. Os rápidos avanços na tecnologia da informação – e as inovações paralelas dos cibercriminosos – significam que os funcionários e outros usuários finais precisam de treinamento regular e específico sobre como se manter seguro online e proteger suas informações e as de seus empregadores.
Este artigo é uma introdução ao treinamento de conscientização de segurança e sua importância: porque as empresas o usam, como ele evoluiu ao longo dos anos e como ele ajuda a reduzir as ameaças de ataques cibernéticos e outras violações de segurança. Por fim, apresentaremos algumas ferramentas para criar um programa de conscientização de segurança eficaz.
Por que as empresas realizam treinamentos de conscientização de segurança?
O treinamento de conscientização sobre segurança cibernética tem um papel fundamental a desempenhar na minimização das sérias ameaças à segurança cibernética impostas aos usuários finais por ataques de phishing. Os principais tópicos de treinamento geralmente incluem gerenciamento de senhas, privacidade, segurança de e-mail/phishing, segurança da web/internet e segurança física e de escritório.
Há também um case de negócios a ser feito para treinamento de conscientização de segurança, conforme explorado no relatório do Grupo Aberdeen, Security Awareness Training: Small Investment, Large Reduction in Risk. Os pesquisadores realizaram um workshop com líderes de segurança corporativa para descobrir por que eles investem em conscientização e treinamento de segurança. Eles descobriram que:
- 91% usam a conscientização de segurança para reduzir o risco de segurança cibernética relacionado ao comportamento do usuário.
- 64% usam para mudar o comportamento do usuário.
- 61% o usam para atender aos requisitos regulatórios.
- 55% o utilizam para cumprir as políticas internas.
Como essas estatísticas sugerem, algumas organizações usam treinamento de conscientização de segurança simplesmente porque precisam, para cumprir requisitos externos ou internos. Mas esse treinamento também faz sentido financeiro, de acordo com o relatório: “um investimento incremental em treinamento de conscientização de segurança resulta em uma redução média no risco anual de ataques de phishing de cerca de 50% e um retorno médio anual cerca de 5 vezes maior do valor do.”
A evolução do treinamento de conscientização de segurança
Embora os conceitos centrais do treinamento de conscientização de segurança cibernética não sejam novos, eles alcançaram a consciência dominante há relativamente pouco tempo. Uma indicação de seu surgimento foi o lançamento em 2004 do Mês Nacional de Conscientização sobre Segurança Cibernética. A iniciativa, da National Cyber Security Alliance e do Departamento de Segurança Interna dos EUA, pretendia ajudar as pessoas a permanecerem mais seguras e protegidas online, incentivando práticas como a atualização regular de software antivírus.
Desde então, o mês anual de conscientização inspirou eventos semelhantes em outros países, expandiu seus temas e conteúdo e atraiu uma maior participação em setores e governos, bem como universidades, organizações sem fins lucrativos e o público em geral.
O foco, os métodos e a eficácia do treinamento de conscientização de segurança sofreram mudanças significativas ao longo dos anos. Em 2004, a maioria dos programas era impulsionada pela necessidade de conformidade — simplesmente atendendo aos requisitos regulamentares. Hoje, esse foco mudou para o treinamento de conscientização sobre segurança cibernética como um meio de gerenciar e evitar o risco organizacional.
Ao longo do caminho, os próprios métodos de treinamento amadureceram. Em 2004, o paradigma dominante era para apresentações anuais, seja como sessões de treinamento presenciais ou treinamentos longos baseados em computador. Infelizmente, essas sessões longas e infrequentes não resultam em boa retenção do conhecimento. Uma mudança gradual para treinamentos curtos e focados em tópicos individuais representou uma melhoria, mas esses treinamentos ainda eram apresentados com pouca frequência, o que permite que o conhecimento se dissipe ao longo do tempo.
Por volta de 2014, o treinamento de conscientização de segurança começou a mudar para educação e melhoria contínua, onde um programa inclui ciclos contínuos de avaliações e treinamento. Os desenvolvimentos mais recentes foram o treinamento “just-in-time” e o treinamento no contexto, que adiciona a capacidade de iniciar treinamentos em resposta a um usuário final que apresenta um comportamento insatisfatório de segurança cibernética, como navegação insegura na internet.
Ferramentas para treinar usuários finais
Hoje, os profissionais de segurança da informação usam uma variedade de ferramentas para treinar os usuários finais, como pode ser visto em nosso Relatório State of the Phish™. A ferramenta dominante – e que continua a crescer em popularidade – é o treinamento de conscientização baseado em computador.
- 79% usam treinamento de conscientização baseado em computador.
- 68% usam exercícios de simulação de phishing.
- 46% utilizam campanhas de sensibilização (vídeos e cartazes).
- 45% usam treinamento presencial de conscientização de segurança.
- 38% usam notificações mensais ou boletins informativos.
Programas de treinamento bem elaborados costumam fazer uso de várias dessas ferramentas. Igualmente importante é implantar essas ferramentas de maneira sistemática e metódica que permita acompanhar e medir o progresso ao longo do tempo.
Nossas soluções de treinamento altamente eficazes utilizam nossa Metodologia de Treinamento Contínuo, projetada com os Princípios da Ciência da Aprendizagem para envolver o aluno e mudar o comportamento.
A maneira como empregamos os Princípios da Ciência da Aprendizagem provou ser eficaz por meio de pesquisas realizadas na Carnegie Mellon University.
Eficácia do treinamento de conscientização de segurança
Nossos próprios estudos de caso e resultados instantâneos mostraram resultados persuasivos:
Criando um programa de treinamento de conscientização de segurança
O treinamento de funcionários versus especialistas em segurança cibernética exige uma estratégia única. Os usuários não são especialistas em segurança cibernética, portanto, eles precisam de informações que lhes sejam fornecidas de uma forma envolvente e que os ajude a visualizar e entender o phishing.
O seu programa de conscientização de segurança deve ter vários recursos:
- Conteúdo: O conteúdo deve ser facilmente digerível e compreensível para o público em geral e fornecer informações de forma organizada, como capítulos e lições.
- Suporte executivo: Os executivos são responsáveis por garantir que os usuários sigam os procedimentos, portanto, o material de treinamento deve ter conteúdo que possa ser distribuído entre os departamentos.
- Atualizações frequentes do programa: o cenário de segurança cibernética muda, portanto, o conteúdo do programa também deve mudar. Todo ano o conteúdo deve ser revisado e atualizado para cobrir as ameaças mais recentes.
- Testes: testar usuários com e-mails de phishing e cenários de engenharia social do mundo real os ajudará a identificar ameaças. Os exemplos dos exercícios devem imitar ataques do mundo real.
- Relatórios: integrados aos testes, os relatórios informarão aos administradores quem clicou em links e enviou dados confidenciais. Os relatórios identificarão os funcionários que precisam de treinamento adicional.
- Pesquisas: após o treinamento, envie perguntas de pesquisa para gerentes, executivos e membros da equipe para que eles possam fornecer feedback para melhorias.
A maneira como você organiza e desenvolve o treinamento de segurança determinará sua eficácia. É preciso uma estratégia para a forma como o conteúdo é escrito e organizado. Um exemplo de modelo para desenvolvimento:
- 10% formal: Embora seja um treinamento corporativo, o conteúdo formal deve ser o mínimo de seções em seu material de treinamento. O conteúdo formal pode ser difícil de ler ou digerir, mas pode ser importante para fatos e exemplos específicos.
- 20% informal: conteúdo informal, como webinars, vídeos e colaborações, envolve melhor os usuários. Esse conteúdo não deve ser a maioria das fontes de treinamento, mas pode ser mais do que o conteúdo formal para ajudar os usuários a entender melhor os conceitos.
- 70% de experiência real: O conteúdo desta seção deve ser personalizado para se adequar à cultura e experiência da empresa. Esse tipo de conteúdo geralmente é desenvolvido por terceiros para que todos os membros da equipe tirem o máximo proveito do treinamento.
O conteúdo incluído no material de treinamento deve ser informativo, mas também deve ser para pessoas que nunca sofreram um ataque de phishing. Deve atender a iniciantes, mesmo que você tenha algumas pessoas muito mais entendidas no assunto. Deve ser envolvente o suficiente para que os usuários queiram se aprofundar nos detalhes e aprender mais. O treinamento é para que as pessoas desenvolvam uma habilidade, e essa habilidade é a de detectar phishing e engenharia social para usuários que desconhecem as várias maneiras pelas quais os invasores criam campanhas contra empresas. Eles podem até mesmo aprender a proteger suas contas pessoais contra phishing e engenharia social, para que os usuários obtenham benefícios adicionais do treinamento de segurança corporativa.
A Proofpoint oferece um conjunto completo de produtos para seu programa de treinamento e conscientização de segurança: desde avaliações de conhecimento e simulações de phishing até treinamento interativo, relatórios poderosos e painéis fáceis de usar.
Pacote de treinamento antiphishing
Nossos clientes usaram nosso Anti-Phishing Training Suite e nossa Metodologia de Treinamento Contínuo para reduzir ataques de phishing bem-sucedidos e infecções por malware em até 90%. Faça da nossa abordagem exclusiva de quatro etapas Avaliar, Educar, Reforçar e Medir a base do seu programa de treinamento de conscientização de phishing.
Simulated Phishing Attacks
Quickly and effectively assess how susceptible your employees are to phishing and spear phishing attacks with our ThreatSim® Phishing Simulations. End users who fall for simulated phishing attacks are automatically presented with a Teachable Moment. This “just-in-time” guidance lets users know what they did wrong and offers tips to help them avoid future threats.
Security Awareness Training
We recommend that your security awareness training program include organization-wide phishing education as well as targeted anti-phishing training. Our unique approach and interactive training modules help you deliver effective cybersecurity education in a flexible, on-demand format that minimizes disruption to daily work routines.
PhishAlarm® Email Reporting Tool
Reinforcing best practices is critical to improving retention. Our PhishAlarm® email reporting tool enables end users to report a suspected phishing email with a single mouse click, reinforcing positive behaviors. Our optional PhishAlarm Analyzer email prioritization tool maximizes PhishAlarm’s capabilities and streamlines response and remediation efforts on reported emails.
O que torna a conscientização de segurança da Proofpoint diferente
Como o treinamento de conscientização de segurança trabalha com o elemento humano na segurança cibernética, é importante que as organizações encontrem uma empresa que possa se conectar com os usuários. O treinamento da Proofpoint é desenvolvido para capacitar funcionários, fornecedores e terceirizados com as informações necessárias para detectar e interromper ataques de phishing. Nós nos diferenciamos usando uma série de fatores.
- Resultados comprovados. O treinamento de segurança mostrou reduzir as taxas de cliques em até 50%.
- Exemplos do mundo real. Treine os funcionários com exemplos do mundo real para que eles reconheçam um e-mail de phishing com mais eficiência.
- Melhor conformidade. O treinamento da Proofpoint melhora a conformidade, educando os usuários sobre auditoria e manutenção de registros adequados ao trabalhar com dados de clientes.
- Envolvente para os usuários. Todas as lições e cursos de treinamento são criados para engajar os usuários para que eles aproveitem ao máximo suas sessões.
Perguntas frequentes: treinamento de conscientização de segurança
O que é o treinamento de conscientização de segurança?
O treinamento de conscientização de segurança é uma iniciativa corporativa para ajudar os funcionários a identificar e evitar ameaças cibernéticas no local de trabalho. É um componente de segurança cibernética eficaz para impedir que erros humanos e ameaças internas causem violações de dados.
Quais são algumas práticas recomendadas de treinamento de conscientização de segurança?
Ensinar centenas ou milhares de funcionários com diferentes níveis de conscientização sobre segurança cibernética requer uma abordagem estratégica. Cada empresa tem seus próprios métodos, mas é importante que o treinamento de conscientização de segurança seja um processo contínuo e o currículo seja revisado e atualizado com frequência para levar em consideração as mudanças no cenário de segurança cibernética.
Qual é o principal objetivo do treinamento de conscientização de segurança?
As violações de dados são caras e os funcionários são os principais riscos para ameaças direcionadas. O treinamento de funcionários para detectar ameaças minimiza o risco de phishing e ransomware, evitando assim a perda de informações de identificação pessoal (PII), propriedade intelectual (IP), receita, reputação da marca e fidelidade do cliente.
Quais são os benefícios do treinamento de conscientização de segurança?
Capacitar os funcionários com conhecimento de segurança reduz o risco de violações de dados e oferece benefícios adicionais. O treinamento de funcionários para identificar ameaças evita o tempo de inatividade devido a violações de dados, garante que sua empresa permaneça em conformidade e melhora a confiança do cliente em sua marca.
O que o treinamento de conscientização de segurança deve incluir?
Os materiais de treinamento de conscientização de segurança incluem módulos de leitura, vídeos, exercícios práticos e testes para garantir a eficácia. A forma como uma empresa formata um programa de treinamento de conscientização de segurança é exclusiva de sua base de usuários, mas deve ser acessível gratuitamente a qualquer pessoa.
Qual a eficácia do treinamento de conscientização de segurança?
O treinamento de conscientização de segurança é tão eficaz que agora é um requisito de conformidade para o GDPR da UE. Ao longo dos anos, as organizações viram um declínio acentuado nas violações de dados devido a uma melhor educação em segurança cibernética.
Quais são os tópicos de treinamento de conscientização de segurança mais importantes?
Qualquer treinamento de conscientização de segurança deve abranger tópicos comuns, como phishing, proteção por senha, uso seguro de mídia social, engenharia social, segurança física, segurança de Wi-Fi público e orientação sobre como trabalhar remotamente. Sua empresa deve adaptar o treinamento para cobrir as maiores ameaças à segurança cibernética de sua empresa.
Quanto custa o treinamento de conscientização de segurança?
Cada empresa tem sua própria estratégia de segurança cibernética e número de funcionários. Alguns funcionários precisam de mais treinamento do que outros. A Proofpoint personaliza o material de treinamento especificamente para suas necessidades de segurança cibernética. Entre em contato conosco para obter preços de seu próprio treinamento de conscientização de segurança. Se estiver interessado em nos experimentar, solicite seu teste gratuito de treinamento de conscientização de segurança hoje mesmo!
Principais características e benefícios da plataforma de conscientização e educação sobre segurança
Saiba mais sobre a Proofpoint Security Awareness and Education Platform. Entenda os benefícios e recursos, incluindo relatórios em tempo real, conteúdo personalizável e suporte multinacional.
Módulos, vídeos e materiais de conscientização de segurança
O treinamento de segurança da Proofpoint para funcionários pode melhorar a retenção do conhecimento, facilitar o comportamento e reduzir o risco. Conheça nossos vídeos de treinamento, materiais e módulos.
Relatórios de inteligência de negócios para treinamento de conscientização de segurança
Nossos relatórios modernos e completos facilitam a comparação, o rastreamento e o conhecimento do usuário sobre tendências; avaliação do progresso; e medição do ROI do treinamento de conscientização de segurança.