Header Ads

Home / Auto / Notícias / Por que sua equipe é seu elo mais fraco da segurança cibernética

Por que sua equipe é seu elo mais fraco da segurança cibernética

quinta-feira, setembro 03, 2020 ,

Shutterstock / Ribkhan

Toda a sua equipe está na linha de frente quando se trata de cibersegurança. Eles são os responsáveis ​​pela gestão das muralhas, por isso é vital que sejam capazes e estejam dispostos. Eles precisam de conhecimento, você precisa da adesão deles.

O elo mais fraco?

Sua força de trabalho não está sozinha, é claro. Você identificará e investirá nas tecnologias apropriadas, tanto de hardware quanto de software, de acordo com a avaliação de ameaças de sua organização e seu apetite por risco. Você implementará as políticas e procedimentos apropriados para fornecer governança, controle e orientação.

Claro, a implementação e manutenção dessas medidas dependem de sua equipe, e sua equipe também é o usuário diário de seus sistemas de TI. Portanto, quer esses sistemas estejam sendo projetados, instalados, mantidos ou usados, sempre depende das pessoas. Você não pode remover o fator humano.

É por isso que é essencial que todos os usuários de computador em sua organização apoiem o que você está tentando alcançar; eles entendem por que você está fazendo isso e como isso os afeta. Significa que eles precisam entender o que devem e o que não devem fazer e, — mais importante — entender por quê.

Suas defesas são tão fortes quanto o membro mais fraco de sua equipe. Mais fraco pode significar que eles não entendem e, portanto, cometem um erro. Isso pode significar que eles não assinam todo o acordo de cibersegurança e o veem como mais um fardo imposto a eles — mais burocracia e responsabilidade. Portanto, eles ignoram ou cortam atalhos e violam as regras conscientemente.

Todas as cadeias têm um elo mais fraco. Mas o elo mais fraco em uma corrente de qualidade superior provavelmente será mais forte do que todos os elos de uma corrente de baixa qualidade. Por que sua equipe é o elo mais fraco em sua segurança cibernética?

Porque você não os transformou em seu maior ativo de segurança.

O Santo Graal da adesão da equipe

O Santo Graal é uma força de trabalho preocupada com a segurança que segue as melhores práticas, usa o bom senso informado e é diligente, mas não paranóico. Chegar perto disso pode parecer a própria definição de uma luta difícil.

As pessoas não gostam de mudanças. Haverá resistência. O que você pode fazer? A insistência repetida eventualmente se transforma em ruído de fundo. Adotar uma abordagem punitiva ou vincular pequenas transgressões a um procedimento disciplinar irá alienar as pessoas na melhor das hipóteses e, na pior, pode levá-las a abandonar as ferramentas.

Mas é inevitável. Se a sua organização vai ser protegida contra o crime cibernético, você precisa que todos estejam puxando na mesma direção, e fazendo isso de boa vontade.

Esses oito pontos o ajudarão a traçar um caminho para a adesão da equipe.

Um: Compartilhar informações

Ninguém está tentando dizer que a segurança cibernética é simples. Pelo contrário, pode ser complexo. Mas não deixe sua força de trabalho no escuro. Você não precisa dar a eles um relato detalhado dos motivos técnicos pelos quais você escolheu uma abordagem específica. Mas diga a eles quais são as ameaças. Deixe claro para eles que essas ameaças são reais e potencialmente catastróficas. Explique o que a organização fez para conter as ameaças e detalhe o que se espera delas.

Seus funcionários entendem que desempenham um papel vital na segurança e são responsáveis ​​quando usam os serviços de TI da organização? É exatamente o mesmo que usar um carro da empresa. Eles devem usá-lo adequadamente — de acordo com as regras da estrada — e tratá-lo com respeito. Eles são responsáveis ​​por isso enquanto o estiverem usando. O mesmo vale para sua rede e seus dados. E se sua organização for atingida por ransomware e não puder negociar, todos sofrerão.

Se você não se sentir confortável com o assunto, considere terceirizá-lo para uma empresa especializada. Trazer experiência externa demonstra seu compromisso com a segurança cibernética e a seriedade que você coloca em fazer a coisa certa da maneira certa. Também lhe dá a chance de se beneficiar de um ponto de vista independente.

Dois: Dados da empresa incluem dados pessoais

Quando as pessoas estão ocupadas, elas se concentram no que precisam fazer para terminar a tarefa na qual estão trabalhando. É difícil se preocupar com o panorama geral quando você está na marcha da morte em direção ao prazo. Mas se algo os afeta pessoalmente, eles vão manter isso em mente.

Sua organização mantém dados pessoais sobre todos os funcionários, portanto, não são apenas os dados da empresa que estão em jogo. Os cibercriminosos estão tão interessados ​​nos dados pessoais da força de trabalho quanto nas informações da empresa.

Os dados pessoais de um funcionário são protegidos pelas medidas adotadas pela organização e pela disposição de seus colegas em seguir os procedimentos. Cada um deve ter as costas um do outro.

Três: Mostrar que não há exceções

Todos precisam de treinamento de conscientização sobre segurança cibernética e todos devem cumprir as políticas e procedimentos. Você não pode fazer uma mudança de base ou uma mudança de cultura se isso se aplicar apenas a determinados departamentos ou equipes, ou se alguns níveis seniores acharem que estão isentos.

Da mesma forma, todos na organização devem passar pelos mesmos processos de introdução de políticas e implantação de procedimentos. Saber que as camadas superiores estão sujeitas à mesma governança de TI e segurança nivelará o campo de atuação aos olhos da força de trabalho. E o c-suite precisa saber em que consiste o treinamento da força de trabalho. Eles precisam saber que é eficaz, bem entregue, pertinente e cobre a todos — incluindo eles próprios.

Considere fazer um breve teste no final das sessões, antes das perguntas e respostas finais. Isso não apenas chamará a atenção do público, mas também fornecerá algumas métricas nas pontuações. Se uma determinada seção é geralmente uma seção de baixa pontuação, essa área da sessão pode exigir algum retrabalho para transmitir a mensagem.

Quatro: Criar políticas e procedimentos acessíveis

Você não pode esperar que as pessoas se comportem da maneira certa se não deixar claro o que é aceitável em primeiro lugar. Portanto, os documentos da política devem ser escritos para comunicar claramente o que é exigido de todo o pessoal. Documentos claros, diretos e bem redigidos são os melhores. Não tente torná-los impressionantes, esforce-se para torná-los acessíveis e inequívocos.

Normalmente, você exigirá documentos que funcionam em conjunto para fornecer uma estrutura abrangente de governança de TI, incluindo uma política de segurança, um procedimento de incidente de TI, um procedimento de violação de dados, uma política de uso aceitável, uma política de senha e possivelmente procedimentos e documentos para satisfazer legislação local, como o General Data Protection Regulations (GDPR) ou o Californian Consumer Privacy Act (CCPA). Seus documentos podem ter nomes diferentes, mas devem abordar esses tópicos.

Haverá muito mais procedimentos operacionais que controlam as atividades, como a distribuição de patches de segurança; agendamentos de backup, incluindo testes; e novos procedimentos de partida, mudanças de função e saída. Eles são específicos da equipe e do departamento. Se você não estiver em TI, não estará preparando contas para novos usuários, mas cada novo usuário ou alteração de função deve ser criado de acordo com o procedimento.

Cinco: começa no primeiro dia

Os novos iniciantes passarão por um processo de indução. Como parte dessa indução, a proteção de dados e a cibersegurança devem ser abordadas. Esta é sua chance de convencer os funcionários novos e entusiasmados de que é assim que você faz aqui. Não dê a eles tempo para adquirirem hábitos ruins e aproveite a oportunidade para eliminá-los.

Não analise-o o mais rápido possível. Não é um exercício de marcar uma caixa. Cortar atalhos aqui fará seu novo iniciador pensar que essas coisas não são importantes; é apenas papelada. Mas bem feito, isso traz seu novo iniciador ao grupo com a atitude certa.

Você pode abri-lo para um público mais amplo e usá-lo como uma atualização da conscientização sobre a segurança cibernética para aqueles que não receberam recarga recentemente. Ter mais pessoas na sala do que apenas os novatos reforça que a segurança cibernética não é algo que é mencionado na primeira semana de trabalho e depois ignorado.

Faça com que eles assinem que entendem o que é exigido deles e que cumprirão suas políticas.

Seis: Torne-o regular

Mantenha um registro do treinamento de conscientização da equipe de segurança cibernética e certifique-se de que todos estejam devidamente informados. Em seguida, repita, no mínimo absoluto, anualmente.

Faça da proteção de dados e da cibersegurança itens permanentes da agenda nas reuniões da diretoria e da administração. Não é um complemento de TI, é um conjunto separado de medidas que abordam os riscos. Assim como você tem sprinklers, simulações de incêndio e seguro contra incêndio para reduzir os riscos de incêndio, você precisa de medidas para lidar com as ameaças cibernéticas. Verifique se suas defesas ainda são adequadas e eficazes e analise e questione quaisquer incidentes de segurança ou proteção de dados.

Programe e execute testes de procedimentos de tratamento de violações e incidentes de segurança. Você não espera até que o navio tenha um buraco para ensaiar seu plano de salva-vidas. Crie um incidente fictício e deixe suas equipes tratá-lo como se fosse real. Em seguida, feche todas as deficiências reveladas pelo teste.

Sete: Escolha a fruta mais baixa

Faça com que os primeiros passos sejam simples. Eles ainda terão um grande impacto no aumento da sua barra de segurança cibernética e farão os funcionários se acostumarem a incorporar atividades centradas na segurança em suas rotinas.

  • Não permita que ninguém compartilhe senhas.
  • Não permita que terceiros acessem seu Wi-Fi corporativo. Tenha uma rede Wi-Fi de convidado que vai direto para a Internet. Eles não precisam estar na sua rede; eles só precisam obter seu e-mail. Você pode nem precisar comprar equipamento para fazer isso, seu hardware atual pode já suportar isso.
  • Todas as senhas devem ser exclusivas e não devem ser senhas já usadas em outro lugar.
  • Definir regras de complexidade de senha e aplicá-las.
  • Se as pessoas têm muitas senhas para lembrar, selecione e promova um gerenciador de senhas sancionado pela empresa.
  • Use a autenticação de dois fatores sempre que possível.
  • Fornece treinamento para identificar phishing, spear phishing e outras ameaças transmitidas por e-mail.
  • Fornece treinamento para ajudar a equipe a detectar e evitar a engenharia social.
  • Garantir todas as operações sistemas e aplicativos estão dentro dos fabricantes &’ suporte ao ciclo de vida.
  • Aplique todos os patches de segurança a servidores e computadores, e também em dispositivos de rede como roteadores, switches e firewalls.
  • Implemente o descarte seguro de equipamentos de TI aposentados e obtenha certificados de limpeza de dados.

Depois que uma estrutura básica estiver em vigor, as camadas mais complexas terão uma base para se assentar.

Oito: Medir e relatar

Crie boas práticas de segurança cibernética em seus programas de avaliação de equipe ou análise de desempenho.

Agrupe e apresente estatísticas em um painel voltado para a força de trabalho.

Fornece uma maneira fácil de relatar problemas e incentiva a equipe a identificar vulnerabilidades suspeitas em seu sistema. Um pequeno prêmio mensal para alguém que detecta um risco potencial de segurança ou propõe uma melhoria é uma boa maneira de envolver as pessoas.

Faça testes de sensibilidade da equipe periodicamente. Ataques benignos de phishing e quedas de USB são uma boa maneira de identificar a equipe que precisa ter seu treinamento reforçado ou que um procedimento precisa ser atualizado, esclarecido ou reforçado.

Lembre-se de relatar o departamento que mais aprimorou, para que, quando os varejistas subirem na classificação, sejam reconhecidos. Se você não quiser classificar os departamentos em uma tabela classificatória, use suas pontuações para movê-los para regiões em um sistema de semáforo. Todos devem ter como objetivo estar no verde.

Relate também as etapas que a organização realizou, como o número de dias desde o último teste de penetração, o número de problemas que foram identificados e quantos desses problemas foram resolvidos. Dessa forma, você está representando um instantâneo dos esforços conjuntos da organização e de sua equipe.

Nenhum comentário

Assinar: Postar comentários ( Atom )