À medida que a inteligência artificial (IA) amplia a sofisticação e o alcance dos ataques de phishing, vishing e smishing, a compreensão e a gestão dos riscos cibernéticos humanos tornaram-se cada vez mais vitais. Neste contexto, o SANS Institute, empresa de formação em cibersegurança, lançou o SANS 2023 Security Awareness Report, “Managing Human Risk“.
Com base nas experiências de quase 2.000 participantes de 80 países, o relatório sublinha a escalada dos riscos cibernéticos humanos, particularmente numa altura em que 20% das organizações em todo o mundo relataram incidentes de segurança envolvendo trabalhadores remotos no ano passado.
“O mundo digital está a expandir-se rapidamente e, com ele, o elemento humano da cibersegurança torna-se cada vez mais importante à medida que evolui como alvo principal das ciberameaças a nível mundial”, afirma Lance Spitzner, Diretor da SANS Security Awareness e coautor do relatório.
“O relatório serve como uma bússola, orientando as organizações não só para compreenderem, mas também para gerirem proactivamente os riscos cibernéticos humanos. Ao unificar dados de milhares de participantes em todo o mundo, descobrimos padrões e abordagens práticas que podem capacitar as organizações a transformar seus cenários de risco humano.”
O relatório fornece uma análise aprofundada e passos práticos para os profissionais de segurança amadurecerem os seus programas de sensibilização, progredirem nas suas carreiras e avaliarem os seus programas globalmente utilizando o Security Awareness Maturity Model.
Em particular, o estudo concluiu que os programas de segurança maduros, marcados por equipas robustas e apoio da liderança, são caracterizados por terem pelo menos três funcionários a tempo inteiro nas suas equipas de sensibilização para a segurança.
Principais conclusões:
Principais riscos humanos: As principais ameaças incluem ataques de Phishing/Vishing/Smishing; riscos de palavra-passe/autenticação mitigados por ferramentas avançadas; o desafio de promover uma cultura de segurança para uma Deteção/Relatório eficaz; e o risco de configurações incorrectas do administrador de TI, especialmente em ambientes de nuvem complexos.
Perspectiva da liderança: Tal como em anos anteriores, a sensibilização para a segurança continua a ser predominantemente considerada um compromisso a tempo parcial nas organizações. Um número notável de 70% dos profissionais de sensibilização para a segurança revelou que lhe dedicam metade ou menos do seu tempo de trabalho este ano. Esta informação sublinha o desafio permanente de elevar a importância da sensibilização contínua para a cibersegurança nas operações quotidianas das organizações.
Remuneração: Pela primeira vez, os nossos dados revelam que os profissionais especializados em gestão de riscos humanos ganham até 5% mais do que os seus pares em funções de segurança mais alargadas. Isto sublinha a crescente procura e o valor destes conjuntos de competências na indústria.
Principais itens de acção para aumentar o sucesso do programa:
Falar em termos de risco: A liderança e as equipas de segurança têm frequentemente a percepção de que a sensibilização para a segurança não faz parte da segurança, mas sim de um esforço de conformidade que tem pouca relevância para a gestão do risco. Para ajudar a mudar essas percepções, concentre-se e fale em termos de gestão do risco humano. É muito mais provável que o risco humano se alinhe com as prioridades estratégicas de segurança da maioria das organizações, ganhe a adesão da liderança e ressoe com uma equipa de segurança. Ajude os membros da sua Equipa de Segurança a compreender como os ajuda e trabalhe com eles para identificar os principais riscos humanos e os principais comportamentos que gerem esses riscos. Demonstre como as comunicações, a formação e o envolvimento eficazes estão a mudar esses comportamentos-chave e a reduzir o risco humano. Estabeleça parcerias com as equipas do Centro de Operações de Segurança, de Resposta a Incidentes e de Informação sobre Ciberameaças, não só para conhecer o seu trabalho, mas também para lhes mostrar como pode ajudar a resolver os seus desafios relacionados com os riscos humanos.
Apoio à liderança: Dedique duas a quatro horas por mês à recolha de métricas sobre o impacto e o valor do seu Programa de Sensibilização para a Segurança e à comunicação desse valor à liderança. Esta informação pode incluir métricas informais, indicadores-chave de desempenho estabelecidos e até histórias de sucesso para permitir que a liderança compreenda melhor e veja regularmente o valor que o seu programa está a proporcionar.
Dimensão da equipa: Enquanto a segurança técnica tem sido um ponto focal para as organizações, o lado humano da segurança tem sido frequentemente negligenciado. Este desequilíbrio torna a força de trabalho um alvo apetecível para os ciberataques. Não é raro encontrar uma equipa de segurança com 50 membros, em que 49 se concentram na tecnologia, deixando apenas uma pessoa para gerir o risco humano. Este subinvestimento na segurança centrada no ser humano contribui para a proeminência dos riscos cibernéticos humanos. Recomendamos um ponto de partida de um rácio de 10 para 1 entre profissionais de segurança técnicos e humanos, para começar a colmatar esta lacuna.
“O modelo tradicional de formação anual centrada na conformidade é inadequado no atual cenário de ciberameaças, pelo que incluímos conselhos práticos e accionáveis em todo o relatório”, afirmou Spitzner. “Desde abordar os principais riscos humanos, que, de acordo com os nossos dados, envolvem phishing por correio electrónico, até enfrentar o desafio comum de garantir recursos e orçamento adequados, pretendemos dotar as organizações com as ferramentas necessárias para melhorar as suas estratégias de gestão de riscos humanos e ajudar a garantir que as organizações investem proactivamente em pessoal, recursos e ferramentas para abordar de forma robusta a dimensão humana dos riscos de cibersegurança.”