close
close Close
Blog Babel-Team.
menu
folder Filed in Cibersegurança, CyberSecurity
Gerenciando o Risco Humano: 4 Táticas Chave para Fortalecer a Cibersegurança em sua Organização
By Babel-Team access_time 8 min read

En el panorama actual de la ciberseguridad, el factor humano se ha consolidado como el eslabón más crítico.

No panorama atual da cibersegurança, o fator humano consolidou-se como o elo mais crítico.

Em 2023, alarmantes 74% das violações de dados foram resultado de comportamentos inseguros ou inadvertidos dos funcionários, segundo o relatório do Gartner “4 Tactics for Developing Security-Minded Employees“.

Isso deixa claro que as abordagens tradicionais, focadas em programas de conscientização baseados em currículos, já não são suficientes. A conscientização por si só não é o problema principal; o problema é o comportamento humano, como destacado no mesmo relatório.

Os líderes de cibersegurança, como os CISOs, devem ir além de simplesmente “conscientizar”, segundo o relatório. É necessária uma abordagem centrada no usuário (UX), fundamentada nas ciências comportamentais e disciplinas relacionadas, para impulsionar uma tomada de decisão segura e consciente do risco.

A meta é evoluir do cumprimento básico de normativas para uma mudança cultural profunda que maximize os comportamentos seguros dos funcionários, um objetivo crucial para a gestão do risco humano.

Para alcançar isso, o Gartner identificou quatro táticas essenciais que todo líder em cibersegurança deveria considerar, segundo o relatório citado.

1. Redefina seus programas de segurança:

Em vez de apenas buscar o cumprimento básico, seus programas devem otimizar os comportamentos humanos e trabalhar para uma mudança cultural organizacional. Isso implica ir além de módulos de treinamento genéricos para ensinar comportamentos desejados e, finalmente, transformar a cultura de segurança da empresa.

Soluções Práticas:

  • Implemente lições de cibersegurança atraentes, gamificadas e interativas que foquem no comportamento.
  • Ofereça conteúdo multilíngue para se adaptar à sua força de trabalho. Integre trilhas de aprendizagem personalizadas cuja configuração seja determinada por fatores como objetivos, duração, preferências de idioma, lições selecionadas e datas de início dinâmicas.
  • A personalização do ciclo de aprendizagem também pode se basear em uma pesquisa inicial de avaliação de hábitos de trabalho do usuário e seu nível de risco.
  • Promova a avaliação contínua por meio de avaliações de conscientização para reforçar o conhecimento, evitando a repetição desnecessária de conteúdo já conhecido.
  • Também é crucial ter a possibilidade de integrar conteúdo próprio em formato SCORM na plataforma de aprendizagem и distribuir lições especializadas por função, como para profissionais de TI, finanças ou gerentes, com materiais imprimíveis para trabalhadores da produção.

2. Utilize frameworks de comportamento:

Um framework como o PIPE do Gartner (Práticas, Influências, Plataformas e Habilitadores) pode guiar a execução de um programa de cultura e comportamento de segurança. O sucesso desta tática depende do apoio executivo, uma visão clara, a experiência adequada e a avaliação constante dos resultados. Trata-se de construir um programa que promova práticas seguras e minimize riscos evitáveis.

3. Integre a experiência do usuário (UX) no design de controles de cibersegurança:

O “atrito induzido pela cibersegurança” – o esforço desnecessário que os funcionários realizam devido às medidas de segurança – reduz a produtividade e fomenta práticas inseguras. É fundamental identificar as fontes de atrito, eliminar controles que não agregam valor e adotar uma mentalidade de UX ao projetar esses controles para uma experiência mais positiva.

Soluções Práticas:

  • Garanta que suas plataformas de aprendizagem e simulação sejam multilíngues e permitam a personalização da marca para se alinhar com sua identidade corporativa, incluindo logotipos e cores.
  • Facilite a gestão de usuários com integração de logon único (SSO) e ferramentas de provisionamento automatizado.
  • Um hub de intervenções centralizado pode coordenar ações eficazes para mitigar riscos de cibersegurança.

4. Desenhe experiências de aprendizagem relevantes para cada função:

O treinamento deve ser adaptado a cenários do mundo real que os funcionários provavelmente vivenciarão em suas funções. Isso melhora o engajamento e o valor percebido do treinamento. Inclua perguntas que reflitam situações de trabalho específicas, ofereça mais de uma “resposta correta” e permita um design de “escolha seu próprio caminho” para que os usuários compreendam as consequências de suas decisões.

Soluções Práticas:

  • Implemente simulações de phishing básicas e direcionadas, escolhendo entre e-mails simulados pré-concebidos para treinar os usuários.
  • Também podem ser usados modelos personalizados e distribuição específica para funções como finanças, TI, RH, desenvolvedores e gerentes.
  • Utilize simulações baseadas no comportamento que ajustem automaticamente a dificuldade e a frequência dos e-mails de acordo com o desempenho do usuário.
  • Ofereça ferramentas para criar modelos de phishing personalizados.
  • Inclua um botão de denúncia de phishing integrado ao e-mail e páginas de aprendizagem interativas que ofereçam micro-lições depois que um usuário clicar em uma simulação de phishing, para reforçar a conscientização.
  • Os “Reporting Nudges” são ferramentas de aprendizagem que treinam os usuários para avaliar componentes do e-mail (endereços, links, anexos e conteúdo) para identificar ameaças de phishing e melhorar as decisões de denúncia.

Capacidades Avançadas para uma Gestão Integral do Risco Humano:

Para implementar essas táticas de maneira eficaz, considere soluções que ofereçam:

  • Análise e Relatórios Detalhados: Painéis de controle para monitorar métricas-chave de comportamento em phishing e e-learning.
  • Capacidades de benchmarking para comparar o desempenho de sua organização com líderes da indústria.
  • Relatórios alinhados com padrões como ISO 27001 e análises de especialistas com a capacidade de exibir dados baseados em características específicas do usuário, como localização, função e hierarquia.
  • A integração com ferramentas de inteligência de negócios é fundamental para uma análise aprofundada, facilitando a exportação de dados da plataforma.
  • Um Índice de Segurança Humana pode ajudar a rastrear e comparar tendências no comportamento humano, tanto positivas quanto negativas, dentro do seu panorama tecnológico e de risco.
  • Intervenções Inteligentes e Automatizadas: Ferramentas assistidas por IA para difundir alertas críticos em toda a organização, fornecer suporte de nível zero aos usuários para perguntas comuns de segurança, aproveitando a base de conhecimento de sua organização, e identificar temas de segurança em alta a partir de interações recentes para melhorar o foco da segurança.
  • O escalonamento automatizado para gerentes em caso de comportamentos de alto risco e ações centralizadas para mitigar riscos de cibersegurança são fundamentais.
  • Conteúdo de Conformidade Específico: Acesso a pacotes de lições dedicados à proteção de dados, segurança ocupacional e conformidade regulatória regional (como para a UE, Alemanha/DACH, Reino Unido). Também, conteúdo especializado para setores como finanças (por exemplo, Prevenção à Lavagem de Dinheiro – PLD).
  • Suporte Estratégico: Diferentes níveis de suporte técnico e implementação, desde uma implementação rápida de melhores práticas até uma implementação de serviço completo.
  • Acesso a gerentes de sucesso do cliente que fornecem suporte personalizado e melhores práticas para maximizar o valor do seu investimento, garantindo satisfação e sucesso a longo prazo.

Ao adotar uma abordagem holística e centrada no ser humano, as organizações podem transformar sua postura de cibersegurança, passando de uma simples caixa de verificação para uma cultura de vigilância ativa que reduz significativamente o risco de incidentes.

Como aponta o relatório do Gartner para 2030, todos os frameworks de controle de cibersegurança amplamente adotados focarão na mudança de comportamento mensurável, em vez do treinamento baseado em conformidade, como a medida crítica de eficácia para a gestão do risco humano.

Como sua organização está abordando o risco humano na cibersegurança?

Compartilhe suas ideias!

Este artigo foi criado pela equipe da Babel-Team com base no documento da Gartner Research ‘4 Tactics for Developing Security-Minded Employees’ e na documentação oficial da SoSafe.


Cibersegurança ResiliênciaCibernética SoSafe

Previous Next

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site é protegido por reCAPTCHA e pelo Googlepolítica de Privacidade eTermos de serviço aplicar.

Cancel Publicar comentário

Next article
Regulamentação e Cibersegurança 2025: abordando o Risco Humano e a Conformidade Contínua