Desde que o campo existe, os profissionais de segurança cibernética têm procurado maneiras de remover o elemento humano da equação de segurança – para criar uma ferramenta, arquitetura ou solução capaz de afastar todo e qualquer e-mail de phishing antes que ele chegue ao caixa de entrada do usuário final.
E embora tenhamos definitivamente feito grandes avanços em direção a esse objetivo, nenhum produto de segurança de e-mail pode reivindicar uma taxa de sucesso de 100%. Mesmo os produtos de segurança de e-mail empresarial mais avançados e orientados por IA só podem apresentar uma taxa de sucesso de 99,998% na prevenção de e-mails de phishing chegarem às caixas de entrada.
Embora esse seja obviamente um histórico fenomenal, é importante manter dois pontos em mente: o phishing é um jogo de números; e basta um ataque bem-sucedido para causar sérios danos a uma organização.
A empresa média hoje é alvo de centenas de e-mails de phishing por dia, com uma média de centenas de milhares de tentativas por ano. Assim, mesmo com uma alta taxa de sucesso, uma organização na extremidade inferior do espectro verá mais de 200 e-mails de phishing passarem por suas defesas. São 200 casos por ano em que a única coisa que se interpõe entre a organização e uma violação de segurança potencialmente devastadora é um único funcionário e a sua capacidade de identificar um e-mail malicioso. E com o aumento da IA generativa, os ataques de phishing estão rapidamente a tornar-se mais sofisticados e mais numerosos.
Com tudo isso em mente, é difícil questionar a utilidade do treinamento de conscientização em segurança. Não é apenas útil, é absolutamente essencial. A formação sobre phishing para funcionários tornou-se fundamental na criação de uma força de trabalho consciente da segurança, na redução do risco de ataques de phishing bem-sucedidos e na promoção de uma cultura organizacional resiliente que possa responder eficazmente à evolução das ameaças à segurança cibernética.
Prós e contras dos programas de simulação de phishing
Embora certamente existam alguns contras dignos de nota, é importante lembrar que eles são muito compensados pelos benefícios que os programas oferecem. Além disso, podemos ultrapassar muitos destes inconvenientes através de mudanças políticas e de programas concebidos tendo-os em mente. No entanto, vamos começar com as possíveis desvantagens:
Contras:
- Falsa sensação de segurança: se não forem tratados com cuidado, os testes simulados de phishing podem criar uma falsa sensação de segurança entre a força de trabalho. Os funcionários podem ficar excessivamente confiantes na sua capacidade de reconhecer tentativas de phishing, levando à complacência. No entanto, isso acontece quase exclusivamente quando o programa de treinamento e teste é muito fácil, muito repetitivo e/ou muito desatualizado. Para superar isso, certifique-se de que o programa de testes e treinamento atenda ao grau de especialização da força de trabalho, contenha variações significativas e seja atualizado frequentemente para refletir as ameaças mais recentes.
- Fadiga do phishing: o uso excessivo de testes simulados de phishing pode levar à “fadiga do phishing”, onde os funcionários ficam insensíveis aos exercícios, reduzindo sua eficácia ao longo do tempo e até mesmo levando alguns a presumir erroneamente que um ataque real é apenas mais uma simulação e, possivelmente, deixar de reportar o ataque como resultado. As empresas podem superar isso certificando-se de usar treinamento e testes em uma taxa que garanta a eficácia sem se tornarem autoritárias. Evite o cansaço garantindo variedade e evite expor os funcionários às mesmas simulações e materiais repetidas vezes.
- Potencial de reação: Se não forem comunicados adequadamente, os testes simulados de phishing podem gerar ressentimento entre os funcionários que sentem que estão sendo alvos ou testados sem contexto, informação e treinamento adequados. Isso também pode despertar sentimentos de ansiedade em alguns funcionários por causa da reprovação nos testes. A melhor maneira de evitar isso: garantir que a força de trabalho seja devidamente treinada e preparada para os testes com antecedência. Esteja atento ao seu nível de especialização e selecione treinamentos e testes que ofereçam um desafio, sem serem injustos ou além do seu nível de especialização.
Prós:
- Melhoria da conscientização: nem é preciso dizer e é o resultado final quando se trata das vantagens do treinamento de phishing: ele torna os funcionários aliados mais eficazes na luta contra ataques cibernéticos. Testes simulados de phishing conscientizam os funcionários sobre a existência e os riscos potenciais de ataques de phishing. Com uma força de trabalho mais vigilante e bem informada, as organizações têm muito menos probabilidade de serem vítimas de ataques de phishing.
- Mudança comportamental: Ao passar por testes simulados de phishing, os funcionários ficam mais propensos a mudar seu comportamento on-line e a se tornarem mais cautelosos ao interagir com e-mails, links e anexos. É importante salientar que estes comportamentos melhorados muitas vezes são transferidos para além do local de trabalho e para dentro de casa, o que significa menos comprometimento dos dispositivos pessoais e uma força de trabalho mais segura.
- Treinamento realista: podemos projetar simulações para imitar cenários de phishing do mundo real, oferecendo aos funcionários uma experiência prática em um ambiente controlado. Além disso, o treinamento em simulação permite que os funcionários sejam expostos em primeira mão às mais novas e avançadas técnicas de phishing em todo o cenário de ameaças. Em vez de assistir a inúmeros vídeos de treinamento (que na maioria das vezes estão desatualizados antes da segunda ou terceira visualização), o treinamento de simulação ajuda a garantir que a equipe entenda melhor as ameaças mais recentes.
- Métricas quantificáveis e melhorias direcionadas: As organizações podem acompanhar métricas como taxas de cliques, taxas de abertura, taxas de relatórios e tempos de resposta, criando dados quantitativos para medir não apenas o desempenho de seus funcionários, mas também a eficácia do próprio programa de treinamento. Com esses dados, as organizações podem identificar mais facilmente áreas que precisam de melhorias e oportunidades para melhorar o desempenho de sua equipe.
A cadência adequada
Não existe um número mágico para esse algoritmo, mas quanto mais testes de phishing forem executados, mais os funcionários poderão reconhecer os sinais e padrões a serem observados nesses ataques. As empresas devem realizar testes de phishing a cada duas semanas ou uma vez por mês para fornecer treinamento preciso e para que as empresas recebam dados precisos sobre quem é mais suscetível a esses ataques.
Para obter a melhor eficácia, recomendamos uma abordagem combinada de treinamento de conscientização em segurança com testes de simulação de phishing. Por exemplo, quando alguém falha no Treinamento de Simulação de Phishing (PST), a empresa pode enviar um vídeo adicional que oferece mais treinamento sobre como detectar esses ataques. A PST pode ajudar a treinar os funcionários sobre os ataques mais recentes e eles aprenderão como detectar e denunciar phishing de maneira eficaz. Portanto, embora os vídeos de treinamento possam ajudar como ferramentas complementares ao treinamento, nunca os trate como um substituto para simulações práticas de phishing.
Defina KPIs mensuráveis e viva de acordo com eles
Quando se trata de avaliar a eficácia de qualquer programa de treinamento e teste de segurança, é importante identificar os indicadores-chave de desempenho (KPIs) mais importantes. Sem eles, é impossível avaliar o desempenho da equipe, nem a empresa pode avaliar a eficácia do programa de treinamento.
A maioria das pessoas pensa que precisa fazer com que a taxa de cliques da equipe seja o mais próxima possível de zero. À primeira vista, isso faz sentido — afinal, quanto menos pessoas clicam, menos caem na simulação. No entanto, acreditamos que o objetivo não deve ser apenas minimizar as taxas de cliques, mas também maximizar as taxas de relatórios. Por que? Porque é através dos relatórios que podemos ajudar os nossos sistemas a ter um melhor desempenho e ajudar a aumentar o nível de sensibilização dos nossos colaboradores.
Além disso, para as organizações que procuram tornar a sua formação mais agradável para os seus funcionários, existem muitas formas fáceis de introduzir a gamificação num programa de formação de phishing. Por exemplo, estabeleça tabelas de classificação (por funcionários individuais e/ou por equipes) e ofereça prêmios aos melhores desempenhos a cada trimestre.
O treinamento de conscientização em segurança funciona: eleva a postura de segurança de uma organização, fortalece as defesas e permite que elas fiquem um passo à frente. No entanto, como qualquer outra iniciativa empresarial, as organizações têm de abordá-las estrategicamente, de uma forma bem pensada e mensurável.
Fonte: SC Magazine
Tradução: Interactiva