Criando uma Cultura de Segurança

Outubro é o mês nacional de conscientização sobre segurança cibernética.

Acontece também que é (entre outras coisas) o Mês da Conscientização do Câncer de Mama, Mês da Higiene Dental, Mês Nacional de Prevenção do Bullying e meu favorito pessoal, Mês Nacional da Pizza. Além disso, é o Halloween! Mas estou divagando ... estamos aqui para falar sobre segurança cibernética.

Cada fabricante deve realizar treinamento de conscientização sobre segurança cibernética para toda a sua equipe pelo menos uma vez por ano. Muitas pessoas ficam assustadas com a simples menção das palavras “segurança cibernética” e “treinamento”, então outubro parece um momento apropriado para isso. Seu treinamento deve, no mínimo, cobrir as políticas relevantes da empresa, como segurança de TI, segurança da informação e segurança física.

Com o passar dos anos, muitos de nós fizemos esse tipo de treinamento e aprendemos a temê-lo. Treinamento em que alguém faz exatamente o mesmo discurso sobre segurança cibernética que fez no ano passado e depois entrega um papel para você assinar dizendo que você estava lá. Um verdadeiro snoozefest. Esse tipo de treinamento cumpre o mínimo necessário, mas tem pouco impacto em moldar o comportamento do funcionário.

O verdadeiro objetivo dos esforços de conscientização e treinamento sobre segurança cibernética deve ser criar uma cultura de segurança, o que significa que os funcionários devem ver as boas práticas de segurança cibernética como um bom negócio e como parte de "como fazemos negócios aqui". Os funcionários devem se sentir capacitados para tomar boas decisões de segurança cibernética e entender o que leva a uma boa decisão. Conscientização e treinamento devem se concentrar em:

• Impedir comportamentos de risco: Ajude os funcionários a saber quais decisões podem levar a um resultado ruim. Por exemplo, abrir anexos de e-mail de fontes desconhecidas.
• Incentivo a comportamentos menos arriscados: Ajude os funcionários a compreender e se preocupar com a implementação de processos que aumentam a segurança. Por exemplo, como criar senhas fortes.
• Transformando funcionários em sentinelas: Ajude os funcionários a reconhecer e responder a um evento de segurança cibernética. Por exemplo, o que fazer se um convidado conectar uma unidade USB não autorizada em uma máquina.

Idealmente, o treinamento deve ser um esforço contínuo. Algumas idéias sobre como incluir o treinamento em segurança cibernética no funcionamento diário da sua empresa incluem:

• Enfatize regularmente a segurança cibernética como uma meta importante da sua empresa.
• Integre uma dica, truque ou lembrete de segurança cibernética em cada reunião.
• Publique lembretes no local de trabalho sobre as práticas de segurança adequadas.
• Faça reuniões regulares para discutir possíveis melhorias no processo que podem tornar mais fácil para os funcionários tomarem melhores decisões de segurança.

Muitas pesquisas foram feitas sobre como é um bom treinamento em segurança cibernética para funcionários. Em geral, pode ser resumido usando a sigla “RAINSTORMS.” Sim, acabei de inventar isso agora.

• R eal:Usar estudos de caso do mundo real ou cenários realistas ajuda a trazer as lições para casa.
• A cionável:inclua algo que os funcionários possam fazer imediatamente. Isso pode incluir alterar suas senhas, fazer um inventário de seus ativos de TI ou certificar-se de que eles tenham informações de contato da pessoa ou organização para a qual devem relatar um incidente em seus telefones. Às vezes, uma tarefa de casa de longo prazo também é apropriada, mas ter um objetivo imediato é sempre útil.
• I Interativo:Dramatização, discussões em pequenos grupos ou exercícios práticos são algumas maneiras excelentes de tornar o treinamento mais interativo. O ideal é que as interações incluam conversas bidirecionais envolvendo todos os níveis de gestão para garantir que todos saibam que todos têm as mesmas responsabilidades e que todos estão na mesma página.
• N Ova:Algumas repetições são apropriadas no treinamento, especialmente ao falar sobre políticas, mas não deve ficar obsoleto. Diferentes formatos de treinamento (por exemplo, palestra, dramatização, vídeos) podem ajudar.
• S mall:Pedaços de informações do tamanho de uma mordida são muito mais fáceis de digerir do que um grau inteiro de ciência da computação imposto aos funcionários. Geralmente é preferível um tópico de cada vez.
• T estável:deve haver uma meta mensurável e testável para o treinamento de segurança cibernética. Se for de conhecimento geral, talvez um questionário possa ser desenvolvido. Se a meta é mitigar ataques de phishing, talvez um e-mail de phishing falso possa ser enviado algumas semanas antes e algumas semanas depois do evento. Isso ajudará a mostrar como o treinamento foi eficaz.
• O wned:Os funcionários devem deixar o treinamento com o sentimento de propriedade e de que a segurança cibernética é sua responsabilidade; eles devem se sentir capacitados para tomar boas decisões de segurança cibernética.
• R elevant:a maioria das empresas tem diferentes tipos de usuários. Ajustar o treinamento para cada tipo de usuário o torna mais real. Isso pode significar ter um treinamento diferente para funcionários de chão de fábrica e funcionários de escritório.
• M Emorable:Use siglas, mnemônicos enérgicos ou, meu favorito, humor. Os humanos lembram de coisas engraçadas - trocadilhos, videoclipes ruins, memes ridículos de gatos - muito melhor do que uma palestra chata. Não tenha medo de torná-lo não convencional e se divertir.
• S imple:Acima de tudo, o treinamento deve ser simples. Lições excessivamente técnicas cheias de technobabble só são boas para colocar as pessoas para dormir.

A National Initiative for Cybersecurity Education (NICE) tem uma pequena lista de recursos gratuitos e de baixo custo para ajudar no treinamento de funcionários. Existem também muitos recursos adicionais disponíveis online. Basta fazer uma pesquisa na Internet e você será bombardeado com opções. Avalie essas opções usando o modelo RAINSTORMS acima.

Ao longo do mês de outubro, o NIST MEP postará uma série de blogs seguindo vagamente o tema e o esboço fornecidos pela National Cybersecurity Alliance (NCSA). O tema deste ano é “Faça a sua parte. #BeCyberSmart. ” Bem, pessoalmente, nunca fui um fã de autopromoção de hashtag, mas se você tweetar ou postar em um blog sobre segurança cibernética durante este mês, considere usar a hashtag #BeCyberSmart - veremos até onde ela vai.

O esboço que o NCSA apresentou é o seguinte:

• Semana de 5 de outubro (semana 1):se você conectar, proteja-o
• Semana de 12 de outubro (Semana 2):Proteção de dispositivos em casa e no trabalho
• Semana de 19 de outubro (Semana 3):Proteção de dispositivos conectados à Internet na área de saúde
• Semana de 26 de outubro (semana 4):O futuro dos dispositivos conectados

Não sabe por onde começar? Você pode aprender mais sobre como implementar um programa de treinamento em segurança cibernética eficaz entrando em contato com o MEP Center local. Você também pode acessar recursos de segurança cibernética para fabricantes no site do NIST MEP.



Este blog é parte de uma série publicada no National Cybersecurity Awareness Month (NCSAM). Outros blogs da série incluem If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business May have been Hacked by Pat Toth, Securing Internet-Connected Medical Devices de Jennifer Kurtz e The Future of Connected Devices de Erik Fogleman e Jeff Orszak.