Os seus colaboradores podem quebrar o seu negócio, mas não fazem a menor ideia disso.
Dona Joana do departamento pessoal da sua filial em Fortaleza recebeu uma mensagem do Joaquim da área de suporte, no whatsapp, alertando que ela precisava alterar o login e senha de entrada no sistema da empresa, por suspeita de vazamento.
Dona Joana não conhecia o Joaquim pessoalmente, afinal o suporte fica em São Paulo, mas a foto dele tinha a logo da empresa, então, devia ser ele mesmo.
Ela acessou o sistema, e solicitou a troca da senha pela nova, fornecida pelo Joaquim.
Já a Liana do comercial, em Belo Horizonte, compartilhou um e-mail de liquidações da pré black Friday com a Ana, o Osvaldo e a Joana!
Afinal, todo mundo adooora uma promoção! O e-mail tinha um link para garantir o desconto quando o carrinho abrisse no dia da black.
Todos eles informaram e-mail, telefone e nome, para garantir sua vaga, claro!
Situações como essas só acontecem com os outros?
Em maio de 2022, as credenciais de um funcionário da Cisco foram comprometidas depois que um invasor obteve o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sincronizadas.
Após uma série de phishings de voz sofisticados, com a máscara de várias organizações confiáveis, tentando convencer a vítima a aceitar notificações push de autenticação multifator (MFA), o invasor obteve acesso à VPN do usuário.
E, essa foi a porta de entrada para um ataque ransomware. Na CISCO.
O usuário erra, mas a responsabilidade recai sobre você, e a sua empresa.
O cibercrime sofistica seus métodos antes das defesas existirem.
Cobrir a segurança de perímetro é fundamental, são escudos de proteção contra ciberataques. Mas não são infalíveis.
Porque existe um flanco aberto, perene, na sua empresa.
As pessoas.
Prova disso é que 95% dos ataques acontecem por erro humano, segundo o relatório Índice de Inteligência de Ameaças X-Force 2021 da IBM.
Além dos óbvios danos de imagem, prejuízo financeiro, há também os riscos de vazamentos de informações confidenciais do negócio, acesso a contas bancárias, registros de caixa, ferir a LGPD, com dados de clientes expostos ou até vendidos na dark web, e gerar multas, processos cíveis e até criminais.
Então, mas a minha parte, eu faço! Só que eles continuam caindo.
Se você já está ciente da necessidade de educar as pessoas ao seu redor dos riscos digitais, já deve ter ao menos tentado enviar um phishing simulado, realizado uma apresentação para explicar os riscos que a empresa corre, talvez, também um e-mail educativo, e por fim, um quiz.
Pronto, dever cumprido.
Só que não. Mesmo que o seu usuário leia e preencha corretamente, esse caminho não funciona.
Como os adultos aprendem, e apreendem.
A primeira coisa que precisamos esclarecer e compreender é como um adulto absorve informações novas.
E para isso precisamos lançar mão de conceitos da Andragogia.
A premissa da andragogia (aprendizagem de adultos) é um ensino baseado na motivação e no autoconhecimento, com independência e autogestão do aluno.
Os conteúdos precisam ser trabalhados com um papel mais ativo do ouvinte.
Um dos pontos da andragogia é utilizar os temas estudados por meio de situações comuns do dia a dia.
É isso que proporciona aplicação e engajamento da aprendizagem. O aluno adulto tem melhor estímulo na educação quando percebe que o conteúdo ou tema aprendido poderá ter uma aplicação imediata no seu cotidiano e não apenas um possível aproveitamento para um futuro distante ou um aprendizado por “obrigação”.
Métodos que realmente funcionam para conscientizar o usuário dos riscos de segurança digital.
O que você gosta de fazer nas suas horas de lazer?
Assistir filmes e séries, jogar no celular, ou videogame, testar suas habilidades?
E, quanto tempo você tem para fazer um curso online na sua área? 10 minutos por dia?
As melhores plataformas de conscientização do usuário disponibilizam conteúdos embalados dessa forma – utilizando táticas de gamificação, absorção progressiva, e vídeos e séries com storytelling que demonstram os riscos de segurança digital no cotidiano.
Essas são formas que funcionam, porque são baseadas na andragogia – permitem uma autogestão e são aplicáveis à realidade imediata das pessoas.
Por isso engajam. E por isso, transformam a percepção de riscos digitais, conscientizam verdadeiramente.
Prova disso é que 43,5% de empresas financeiras sem programas de conscientização do usuário, são propensas a phishing de acordo com estudo da Knowbe4.
Mas a boa notícia é que esse número cai para 15,6% após 90 dias de implementação do programa, chegando a 3,4% em 1 ano.
Esse estudo revela uma média de percentuais próximo a estes, para outros segmentos, tais como indústria, varejo, saúde, e mesmo governamentais.
Mas, por ser um plano de implementação contínua, com prazo mínimo de 3 meses para apresentar os primeiros resultados, surge outra preocupação. A sua disponibilidade.
Passo a passo da implementação de um Programa de Conscientização do Usuário.
Há dois caminhos que você pode optar.
O primeiro deles é realizar a gestão direta, nesse caso, seguindo essas etapas:
O primeiro passo é pesquisar e selecionar no mercado uma plataforma com essa metodologia, cheia de conteúdos e simulados ricos, e em português.
O segundo passo é envolver a área de pessoas. Tanto para que capitanear as atividades de incentivo aos treinamentos, quanto para dividir o budget.
O terceiro passo é fechar a implantação, com o financeiro e a área de pessoas, considerando ao menos uma reunião mensal de avaliação dos resultados.
O quarto passo, da implantação em si, uma reunião de abertura, um kick off para startar o plano, integrando todos os colaboradores em um mesmo propósito.
O quinto passo, que deve ser perene, requer a condução das atividades através do acompanhamento com as lideranças de equipes e RH.
A gestão de implantação pode ser um gargalo para quem tem a responsabilidade de toda uma área de TI, ou mesmo, de toda uma empresa.
O segundo caminho é destinado a esses.
Porque esses correm o risco de contratar uma plataforma de conscientização do usuário de conteúdos incríveis, mas, não conseguir implantar.
E, por falta de dedicação, engavetar o projeto, mantendo o status inicial de vulnerabilidades em cibersegurança.
Por isso, é importante considerar no mercado uma empresa que possa realizar esse envolvimento e condução com suas áreas de RH, financeiro e lideranças de equipes, além da implantação e acompanhamento, e incentivo para que as pessoas assistam os conteúdos, continuamente.
Investir em programas de treinamento e conscientização sobre cibersegurança é estratégia fundamental para criar um escudo de proteção ao elo mais frágil contra ataques cibernéticos em sua organização. As pessoas.
Quer saber mais?
Consulte um de nossos especialistas para entender como o QOS Concierge Mindset pode ajudar você e a sua empresa a blindar o seu negócio contra o cibercrime.
