O relatório 2021 SANS Security Awareness Report já está disponível. Este relatório permite às organizações aferir os seus esforços de sensibilização em matéria de segurança e tomar decisões orientadas por dados sobre como melhorar e amadurecer os seus programas. O relatório também fornece passos e lições aprendidas que pode aplicar ao seu próprio programa.
O tema do relatório deste ano é “gerir o risco humano”. Para a maioria das organizações, as pessoas representam o seu maior risco, desde ataques de phishing e credenciais roubadas até à perda acidental com auto-completar em contas de correio electrónico ou contas de Cloud mal configuradas.
Os programas de sensibilização para a segurança são uma das formas mais eficazes de as organizações poderem gerir o seu risco humano. Mas durante demasiado tempo a Consciência de Segurança tem sido percebida e tratada como uma iniciativa de conformidade, com sucesso definido pelo número de pessoas que receberam formação de segurança ou pelo quão visível foi a formação.
Como resultado, os programas de sensibilização eram muitas vezes reportados a, ou conduzidos por, Recursos Humanos, Jurídicos ou de Conformidade.
Segundo o relatório, estamos a assistir a uma mudança fundamental à medida que os líderes se aproximam da consciencialização de uma perspectiva de segurança, como uma extensão da equipa de segurança, para ajudar a gerir o seu risco cibernético humano.
Para ajudar as organizações a aplicar melhor as lições aprendidas do relatório, foi incluída pela primeira vez a Matriz de Indicadores de Sensibilização .
Esta matriz permite que as organizações identifiquem o nível de maturidade do seu programa de consciencialização, comparem essa maturidade com milhares de outras organizações, as métricas que devem utilizar, e os próximos passos para amadurecer o seu programa.
Uma das principais conclusões do relatório é a forma como enfatiza a importância de dedicar pessoas à gestão de um programa de sensibilização. Semelhante aos relatórios do passado, encontrámos o tempo, e não o orçamento, como o maior desafio que os programas de consciencialização enfrentam.
Para mudar e assegurar eficazmente o comportamento humano em toda a organização, são necessários pelo menos 2,5 FTEs (Full Time Equivalent) em média dedicados ao programa. Para ter impacto na cultura e ter um quadro métrico forte, requer em média 3,5 FTEs.
A gestão do risco humano é, em última análise, um problema de pessoas, e requer uma solução de pessoas. Não se pode simplesmente comprar uma caixa para gerir o seu risco humano.
O relatório deste ano recomenda que os agentes de sensibilização com pouca ou nenhuma experiência técnica ou de segurança se debrucem sobre a formação em cibersegurança para o desenvolvimento de carreiras. Isto não só lhes permitirá compreender melhor os riscos e comunicar com os líderes sobre a gestão desses riscos, como também, ao serem capazes de falar em termos técnicos, poderão ser vistos como mais valiosos pelos membros da equipa técnica.
Além disso, destaca que é preciso reestruturar a discussão de “consciência de segurança” para “gestão do risco humano”. O risco humano está muito mais alinhado com a maioria das prioridades estratégicas de segurança da organização, muito mais susceptível de ganhar a adesão da liderança, e muito mais susceptível de ressoar com uma equipa de segurança.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
pub