Pesquisa: o Treinamento de Segurança dos Funcionários é Essencial Para o Sucesso do Trabalho Remoto

As organizações foram forçadas a se adaptar rapidamente nos últimos meses, uma vez que os lockdowns do governo mantiveram a maioria dos trabalhadores em suas casas. Para muitos, as mudanças feitas podem se tornar permanentes à medida que um trabalho mais distribuído se torna a norma. Isso tem implicações importantes para a cibersegurança. Os funcionários são frequentemente descritos como o elo mais fraco da cadeia de segurança corporativa, sendo assim, teriam eles se tornado uma responsabilidade ainda maior por trabalharem em casa?

Infelizmente, um grande estudo novo da Trend Micro descobriu que, embora muitos estejam mais antenados durante o lockdown, maus hábitos persistem. Os CISOs que buscam aumentar o treinamento de conscientização do usuário podem obter um melhor retorno sobre o investimento se tentarem personalizar estratégias de acordo com personas específicas do usuário.

O que descobrimos

Pesquisamos 13.200 trabalhadores remotos em 27 países para compilar o estudo Head in the Clouds. Ele revela que 72% se sentem mais conscientes das políticas de cibersegurança de sua organização desde o início da quarentena, 85% afirmam levar as instruções de TI a sério e 81% concordam que a segurança cibernética é parcialmente sua responsabilidade. Quase dois terços (64%) até admitem que o uso de apps não profissionais em um dispositivo corporativo é um risco.

Apesar desses aprendizados durante o lockdown, muitos funcionários estão mais preocupados com a produtividade. Mais da metade (56%) admite usar um app não profissional em um dispositivo corporativo e 66% carregou dados corporativos nele; 39% dos entrevistados “frequentemente” ou “sempre” acessam dados corporativos a partir de um dispositivo pessoal; e 29% acham que podem se safar com o uso de um app que não é de trabalho, pois as soluções apoiadas por TI são “absurdas”.

Esta é uma receita para a shadow IT e níveis crescentes de risco cibernético. Também ilustra que as abordagens atuais do treinamento de conscientização do usuário estão escassas. De fato, muitos funcionários parecem estar cientes de como são as práticas recomendadas, apenas optam por não segui-las. 

Quatro personas de segurança

É aqui que entra a segunda parte da pesquisa. A Trend Micro contratou a Dra. Linda Kaye, Acadêmica de Cyberpsychology da Edge Hill University, para analisar quatro personas de funcionários com base em seus comportamentos de cibersegurança: medrosos, conscientes, ignorantes e audaciosos.

Dessa forma: os funcionários medrosos podem se beneficiar do treinamento de ferramentas de simulação como o Phish Insight da Trend Micro, com feedback em tempo real dos controles de segurança e orientação.

Funcionários conscientes requerem muito pouco treinamento, mas podem ser usados como exemplos de bom comportamento e para se unir a “amigos” de outros grupos.

Usuários ignorantes precisam de técnicas de “gamificação” e exercícios de simulação para mantê-los engajados no treinamento e também podem exigir intervenções adicionais para entender verdadeiramente as consequências do comportamento arriscado.

Os funcionários imprudentes são talvez os mais desafiadores, porque seus erros são resultado não da ignorância, mas por acharem que sabem mais que os outros. As organizações podem precisar usar esquemas de premiação para promover o compliance e, em circunstâncias extremas, intensificar os controles de prevenção e segurança contra perda de dados para mitigar seu comportamento arriscado.

 

Cloud Security Personas em 2020

 

Nem todo mundo é igual quando se trata de cibersegurança

 

No que diz respeito aos hábitos de cibersegurança e às pessoas em relação ao risco, não há dois indivíduos iguais. É por isso que políticas e treinamentos de tipo único nem sempre são bem-sucedidos. A pesquisa Head in the Clouds da Trend Micro identificou quatro tipos de caráter mais comuns nas organizações atualmente. Ao conhecer o principal fator e os atributos de cada pessoa, as empresas podem adaptar as políticas de treinamento em cibersegurança e gerenciamento de riscos de acordo.

Medroso

 

· Ansioso por fazer algo errado ou expor a si ou a sua organização a riscos

· Altamente responsável pelo seu próprio comportamento

· Nem sempre está ciente dos riscos cibernéticos que existem por aí ou como gerenciá-los

· Pode implantar estratégias de prevenção de riscos com custo de produtividade

Consciente

 

·  Experiente na

 compreensão dos riscos

de cibersegurança

·  Sempre toma medidas proativas para evitar/gerenciar riscos

·  Altamente responsável pelo seu próprio comportamento

·  Atento ao seu papel na proteção da organização

Ignorante

 

·   Distinta falta de conscientização sobre cibersegurança

·   Ausência de responsabilidade pelo próprio comportamento

·   Descuidado e corre

 riscos regularmente

·   Não entende o

significado de suas ações relacionadas à

cibersegurança

Imprudente

 

·   Descuidado e sem

qualquer tipo de diligência em torno da cibersegurança

·   Sem consideração ou responsabilidade por

seu próprio

comportamento

·   Imprudente e tem uma superioridade

 percebida: ‘As regras não se aplicam a eles’

·   Acredita que a responsabilidade da SI esteja em outro lugar da organização

Para saber mais, visite trendmicro.com

Ao entender que não há dois funcionários iguais, os líderes de segurança podem adaptar sua abordagem de maneira mais diferenciada. A divisão da equipe em quatro campos deve garantir uma abordagem mais personalizada do que as sessões de treinamento que a maioria das organizações realiza hoje.

Por fim, o trabalho remoto só funciona se houver um alto grau de confiança entre os gerentes e suas equipes. Uma vez que a pandemia recue e a equipe seja tecnicamente permitida de volta ao escritório, essa confiança precisará ser recuperada para que eles continuem se beneficiando de um ambiente de trabalho em casa.