O treinamento em segurança cibernética está subindo na lista de prioridades para pequenas empresas, pois elas percebem o risco de ataque e os danos que até mesmo uma violação pode causar.
A Microsoft viu um aumento de 300% nos ataques cibernéticos entre 2020 e 2021, com 50% deles atingindo pequenas empresas. Além disso, o custo médio de uma violação cibernética para uma pequena empresa em 2019 foi de £ 11.000, de acordo com a Hiscox.
Hiscox também diz que uma pequena empresa no Reino Unido é hackeada com sucesso a cada 19 segundos. A pesquisa do governo destaca que as tentativas de phishing foram o tipo mais comum de ataque (83%) nos 12 meses até março de 2022, enquanto uma em cada cinco empresas relata um tipo de ataque mais sofisticado, como negação de serviço, malware ou ransomware.
Aqui, exploraremos por que você precisa de segurança cibernética para seus funcionários que trabalham em casa e que tipo de treinamento você deve fornecer.
Por que devo fornecer treinamento de segurança cibernética para meus trabalhadores domésticos?
Em primeiro lugar, as ameaças cibernéticas estão crescendo. De fato, o Fórum Econômico Mundial disse que os riscos cibernéticos serão um dos maiores desafios para as empresas nos próximos cinco anos.
Pequenas empresas podem correr o risco de acreditar que, por serem tão pequenas, não correm o risco de serem violadas. Em alguns casos, isso significa que o negócio está despreparado e, portanto, vulnerável. Para causar mais danos, você pode receber uma multa do Information Commissioner’s Office (ICO) por causa de uma violação de dados.
O que talvez seja mais prejudicial para as empresas é a perda de confiança do cliente. Um terço (33%) das organizações dizem que perderam clientes após uma violação de dados, de acordo com a RedSeal. Outros estudos mostram que 29% perdem receita como resultado de uma violação de segurança de dados. Se o seu site não funcionar, por exemplo, os clientes podem ir aos concorrentes ou dar uma avaliação negativa.
Às vezes, os funcionários não percebem o risco que correm de um comprometimento de segurança cibernética, especialmente quando estão em casa em sua própria rede Wi-Fi. Eles podem não perceber que os dispositivos em sua rede doméstica também podem tornar os dados comerciais mais vulneráveis.
Nenhuma pequena empresa também é uma ilha. Andy Robertson, chefe da Fujitsu Cyber Security na Fujitsu UK&I, disse Pequenos negócios: “Uma outra razão pela qual as PMEs são tão atraentes é que geralmente são uma porta de entrada para organizações maiores como um elo da cadeia de suprimentos. Essas grandes empresas geralmente são parceiros, fornecedores ou clientes importantes – mas as boas práticas de segurança garantirão que nenhum relacionamento seja prejudicado.”
Treinamento presencial ou online?
Embora isso possa parecer uma pergunta estranha para um artigo sobre trabalhadores domésticos, vale a pena pensar um pouco. A natureza, o tamanho e o setor do seu negócio provavelmente serão fatores decisivos na forma como você realiza seu treinamento. Bases de funcionários menores podem querer apenas fazer treinamento presencial, onde uma equipe de tecnologia de uma empresa de comércio eletrônico precisaria de algo mais especializado.
De relance, aqui estão os prós e contras do treinamento presencial versus online:
Em pessoa
Prós
- Os funcionários podem fazer perguntas
- Funciona bem para pequenos grupos
Contras
- Mais caro
- Mais difícil organizar treinamento regular
Conectados
Prós
- Mais barato
- Mais flexível para os funcionários
- Acesso a uma gama mais ampla de fornecedores
- Mais fácil de acompanhar o progresso dos funcionários
Contras
- Possivelmente menos envolvimento com os funcionários
- Pode não ser capaz de obter assistência fora do expediente
Seja qual for o método que você decidir seguir, misture-o. Jason Stirland, CTO da DeltaNet International, acredita que a variedade no treinamento é crucial. Pequenos negócios.
O que deve ser abordado no treinamento de segurança cibernética?
Deve haver treinamento básico para todos, com lições fáceis de entender e ministradas em seções menores para que os funcionários retenham mais informações. Adapte qualquer treinamento além disso para que seja apropriado para a equipe que está sendo treinada e para o nível de conhecimento técnico.
Você tem a opção de realizar o treinamento sozinho ou contratar um terceiro. Claro, será mais barato se você tiver o conhecimento interno e puder se comunicar com a equipe de uma maneira que se adapte à cultura da sua empresa. Dito isso, um terceiro teria treinamento e experiência profissional, o que significa que é menos provável que tenha pontos cegos.
Se você optar por um terceiro, alguns cursos são certificados pelo National Cyber Security Center Training, ministrados por provedores de treinamento experientes. O conteúdo ensinado nesses cursos de treinamento deve corresponder às ‘áreas de conhecimento’ do Corpo de Conhecimento de Segurança Cibernética. Uma lista de provedores de treinamento em cada nível pode ser encontrada no site do NCSC.
Ao procurar um provedor de treinamento, verifique se eles cobrem:
- Como criar uma senha forte
- Como são os ataques comuns
- Sinais de que um dispositivo pode ser afetado por atividades suspeitas
- O que é a autenticação multifator e por que é importante
- Protegendo a Internet e os dispositivos em casa
Os provedores de treinamento também devem mencionar princípios básicos de orientação, como bloquear telas sempre que estiverem ausentes, manter os dispositivos em algum lugar seguro quando não estiverem em uso e atualizar frequentemente senhas fortes.
Certifique-se de que os funcionários saibam como denunciar um ataque cibernético e que possam fazê-lo com reprimenda – o medo de punição pode impedi-los de denunciá-lo.
O treinamento deve ir além das ações dos funcionários. Javvad Malik, principal defensor da conscientização de segurança da KnowBe4, disse: “Para os trabalhadores domésticos, os empregadores devem procurar fornecer treinamento não apenas para os funcionários, mas também dar conselhos práticos e conscientização que podem se estender a todos os membros da família”. Isso pode ser manter o hardware protegido contra crianças pequenas ou ensinar aos membros da família como é um site suspeito ou ataque de phishing em seus próprios dispositivos. “Em última análise, o objetivo não é garantir que as pessoas tenham passado por várias horas de treinamento ou que sejam especialistas em segurança cibernética, mas que estejam equipadas com as habilidades que lhes permitam tomar melhores decisões de risco”, disse Malik.
Exercícios de simulação
Uma maneira interessante de garantir que as lições sejam válidas é fazer exercícios de simulação frequentes em que você envia, digamos, um e-mail de phishing. Monitore quantas pessoas respondem a ele e/ou clicam nos links.
John Blackburn, diretor de operações da Central Networks and Technologies, é um defensor disso. Ele disse: “É possível simular um e-mail fraudulento e enviá-lo para a força de trabalho – permitindo que os empregadores vejam quão vulnerável a organização estaria no caso de um ataque real. Isso deve ser realizado regularmente, pois ajudará a informar se é necessário mais treinamento e se alguma área específica precisa ser direcionada.”
Não é apenas um caso de enviar um e-mail e bam, pronto. Nick Ross, consultor de segurança cibernética da Trend Micro, aconselha que você pense sobre para quem é o treinamento – considere diferentes campanhas direcionadas a diferentes departamentos – bem como qual treinamento você executará após uma campanha de phishing, com que frequência você está vai executar a campanha e como você vai registrar os resultados e acompanhar o progresso.
“Uma vez que você está indo, você pode querer mudar as coisas um pouco”, disse Ross. “Evite padrões facilmente detectáveis, como lançar suas campanhas no primeiro dia de cada mês ou usar o mesmo modelo em trimestres consecutivos. Manter seus usuários adivinhando garantirá avaliações realistas.”
Estar ciente das tendências irá ajudá-lo aqui. “Lembre-se também de que você está imitando os bandidos”, disse Ross. “Os invasores geralmente pegam carona nas tendências sazonais. Fevereiro, março e abril são um ótimo momento para uma simulação com tema fiscal. Da mesma forma, novembro e dezembro são ótimos para ataques temáticos de comércio eletrônico. Pense no momento de suas simulações para maximizar a eficácia.”
Recursos pós-treinamento
Ajudará ter alguns recursos sempre presentes disponíveis que seus funcionários possam consultar a qualquer momento. Forneça guia(s) escrito(s) para os funcionários usarem e que sejam de fácil acesso para eles depois de fazerem os módulos de treinamento. O NCSC recomenda ‘Como faço?’ guias como ‘Como crio uma senha forte?’
Um plano de continuidade de negócios – um documento que descreve como uma empresa operará caso sofra alguma interrupção, como um ataque cibernético ou funcionários trabalhando em casa de repente – também é essencial. Lee Wrall, cofundador e diretor da Everything Tech, disse: “Esses planos devem delinear procedimentos de recuperação de desastres, bem como estratégias detalhadas sobre como a empresa operará a curto e longo prazo”.
Se você quiser mais orientações sobre treinamento de segurança cibernética para sua força de trabalho remota, confira o link abaixo.
Consulte Mais informação
7 ações para melhorar a cibersegurança da sua empresa enquanto trabalha remotamente