16 de setembro de 2024 - Cyber security
Este é um guia SUPER detalhado de treinamento em conscientização sobre segurança para 2026.
Neste novo artigo, você aprenderá sobre:
- A importância da security awareness
- Os diferentes tipos de treinamento security awareness
- As melhores maneiras de fazer com que sua organização participe
- As formas como marcas holandesas famosas treinam seus funcionários
Vamos nos aprofundar no assunto.
O que é treinamento security awareness ?
O treinamento Security awareness é um treinamento que prepara a equipe para reconhecer e evitar ameaças cibernéticas que possam ser encontradas no trabalho ou em suas vidas pessoais. Um bom programa de treinamento em segurança aumenta a conscientização sobre questões como phishing, software malicioso (malware), engenharia social e outros perigos do mundo digital.
O treinamento Security awareness pode abranger políticas específicas ou estruturas normativas, como a HIPAA, ou pode ser mais geral. O treinamento pode assumir várias formas, desde uma aula de atualização anual até o aprendizado contínuo ministrado regularmente.
Por que o treinamento security awareness é tão importante?
Até 95% de todos os hacks e vazamentos de dados são causados por erro humano. Desde clicar em um link phishing até usar senhas fracas, os erros cometidos por seres humanos geralmente estão no início do crime cibernético. É por isso que é tão importante treinar seus funcionários para que aprendam a reconhecer e denunciar ameaças cibernéticas.
A importância do treinamento security awareness tem sido um tema muito discutido há anos. Nem todos os profissionais de segurança o consideram necessário, pois acreditam que o erro humano não pode ser descartado. Eles acreditam em medidas tecnológicas para garantir a segurança mesmo quando ocorrem erros humanos.
Na Guardey, acreditamos em uma combinação de ambos. Embora seja verdade que o treinamento não pode garantir a segurança, entendemos que a tecnologia também não pode. Não existe nenhum filtro de spam no mundo que garanta a captura de todos os e-mails phishing . Para o 1% de phishing que consegue passar por suas defesas tecnológicas, você quer que seus funcionários estejam cientes dos perigos do phishing.
Há muitas ameaças cibernéticas que não podem ser evitadas pela tecnologia. Pense na engenharia social da vida real, em que uma pessoa entra no escritório e convence a recepção de que é um contratado que precisa acessar os servidores. Situações como essas só podem ser evitadas quando todos em sua organização têm um alto senso de security awareness.
Uma introdução às ameaças cibernéticas comuns
Phishing, vishing, smishing e quishing
Phishing é o uso de mensagens de e-mail para atacar um alvo. Os e-mails Phishing fingem ser originados de alguém em quem o alvo normalmente confiaria, como um cliente ou colega, ou de uma entidade confiável, como um banco ou um varejista on-line. Às vezes, o objetivo de um e-mail phishing é induzir o destinatário a fazer download de malware. Porém, de modo mais geral, o objetivo é obter informações confidenciais, como as credenciais de login do alvo para um serviço bancário on-line ou informações de identificação pessoal, como o número do seguro social.

O vishing é um ataque semelhante que utiliza chamadas de voz e vídeo, enquanto o smishing utiliza SMS e mensagens de texto. O spear phishing é um ataque direcionado a um indivíduo específico, como um executivo de alto escalão ou alguém com acesso ao sistema de TI. Nesses casos, o hacker costuma recorrer à engenharia social para fazer com que o alvo acredite que a mensagem é autêntica. O quishing refere-se ao uso de códigos QR que induzem os alvos a visitar sites maliciosos ou a transferir dinheiro diretamente para criminosos.
Malware
Malware é um software malicioso disseminado por criminosos cibernéticos. Ele pode infectar computadores individuais e outros dispositivos, ou redes inteiras. Há muitos tipos diferentes de malware. Aqui estão alguns exemplos:
Vírus
Os vírus são programas autorreplicantes projetados para causar danos a um sistema, excluindo dados ou introduzindo outras vulnerabilidades que podem ser exploradas.
Cavalos de Troia
Cavalos de Troia são programas disfarçados de software legítimo, mas que causam danos ao sistema. Os cavalos de Troia geralmente se escondem sem serem detectados nos sistemas de computador por um longo período, roubando informações e enviando-as aos criminosos cibernéticos. Um tipo comum de cavalo de Troia é um keylogger. Ele registra todas as teclas digitadas em um computador infectado, podendo revelar senhas e outras informações confidenciais. Essas informações podem ser usadas para outros crimes, como roubo de dados e roubo de identidade.
Ransomware
Outro tipo comum de malware é o ransomware. O ransomware é um malware projetado para obter um resgate da vítima. Normalmente, o ransomware criptografa todos os arquivos em um sistema ou rede de computadores e, em seguida, solicita um resgate da vítima em troca dos meios para descriptografá-los.
Os resgates exigidos geralmente são muito altos, às vezes muito mais do que a vítima pode pagar. Mesmo que o resgate seja pago, não há garantia de que o invasor fornecerá as chaves de descriptografia. Em muitos casos, os arquivos criptografados são perdidos para sempre. Nos últimos anos, houve muitos ataques de ransomware de alto nível, como o ataque de 2023 ao Serviço Nacional de Saúde do Reino Unido.
O ransomware está em ascensão internacionalmente, com o tamanho dos pagamentos de resgate aumentando.

Sites maliciosos
Sites mal-intencionados, também conhecidos como sites de ataque, são sites que hospedam códigos mal-intencionados com a intenção de induzir os usuários a baixá-los em seus dispositivos. Em alguns casos, os sites de ataque são configurados para essa finalidade específica. Em outros, um site legítimo é sequestrado por criminosos cibernéticos que inserem códigos maliciosos nele. Alguns sites, chamados de sites de ataque drive-by, nem mesmo exigem que a vítima clique em um link de download ou interaja de alguma forma - apenas visitar o site é suficiente para infectar um sistema que esteja protegido de forma inadequada.
Os sites mal-intencionados também podem imitar sites confiáveis para induzir os usuários a inserir suas credenciais de login, permitindo que os criminosos obtenham acesso às contas das vítimas.
Ataques por USB
Mídias removíveis, como unidades USB, podem ser facilmente usadas como um vetor para códigos mal-intencionados. Em alguns casos, um criminoso pode obter acesso físico aos dispositivos de uma organização; geralmente, os invasores deixam pendrives infectados em locais onde os funcionários podem encontrá-los.
É trivial para um invasor adquirir uma unidade USB adornada com o logotipo da organização-alvo ou de outra entidade confiável, como um cliente ou fornecedor regular, e deixá-la perto das instalações onde será recolhida. Eles contam com membros da equipe curiosos ou prestativos para conectar a unidade USB em um dos computadores da rede da organização para verificar seu conteúdo. Uma vez conectada, a unidade infectada pode depositar sua carga útil de malware.
Observe que qualquer dispositivo capaz de armazenar dados pode ser usado para esse tipo de ataque, incluindo MP3 players, câmeras digitais e smartphones. Um exemplo recente é o Sogu, uma campanha de espionagem cibernética com auxílio de USB que tem como alvo vários setores.
Todos esses ataques podem ser devastadores para uma organização. É possível minimizar as chances de ser atingido por um ataque como esse com o treinamento adequado security awareness para funcionários e proprietários de empresas. Quando a equipe de uma organização está ciente dos riscos e de como evitá-los, ela deixa de ser um ponto de falha e passa a ser um firewall humano.
E a lista continua
As ameaças cibernéticas mencionadas acima são algumas das mais predominantes, mas os criminosos cibernéticos têm muitos métodos para roubar dados valiosos. Com o passar do tempo, seus métodos se aprimoram e são mais difíceis de serem percebidos por olhos não treinados. Especialmente com a IA em ascensão, os diferentes tipos de ameaças cibernéticas parecem ilimitados.
Os diferentes tipos de treinamento security awareness
Há várias maneiras de treinar seus funcionários. A seguir, veremos algumas das mais usadas.
Cursos anuais
Muitas organizações ainda dependem de cursos de treinamento anuais para preparar sua equipe para lidar com ameaças cibernéticas. O treinamento anual de security awareness para os funcionários tem dois problemas principais. Em primeiro lugar, o cenário de ameaças digitais está em constante mudança. Novas ameaças surgem o tempo todo, não apenas uma vez por ano, de modo que o treinamento anual fica rapidamente desatualizado.

Em segundo lugar, as pessoas simplesmente não retêm informações por um ano inteiro. Mesmo o aluno mais atento não se lembrará de tudo o que aprendeu por mais de alguns meses. Essa deterioração do conhecimento significa que o conhecimento dos funcionários inevitavelmente se tornará menos abrangente com o tempo, tornando-os menos eficazes para evitar riscos.
Treinamento em sala de aula
O treinamento em sala de aula tem algumas vantagens em relação a outros métodos de ensino. Ele cria um ambiente livre de distrações, no qual os alunos podem se concentrar nos tópicos específicos que precisam entender e internalizar. No entanto, o treinamento em sala de aula tem desvantagens significativas. Os alunos precisam ser afastados de outras atividades, o que significa que eles ficam para trás nas tarefas de trabalho ou abrem mão de seu tempo livre.

O treinamento em sala de aula também impõe aos alunos um modelo de tamanho único, com alguns alunos se sentindo entediados ou sem desafios e outros confusos com os novos tópicos.
Aprendizado eletrônico tradicional
O e-learning tradicional tenta replicar o aprendizado em sala de aula em um ambiente remoto. As aulas são ministradas em uma plataforma como Canvas ou Moodle, usando slides e outras mídias. Geralmente, há palestras pré-gravadas ou ministradas ao vivo por um instrutor. Embora o e-learning tradicional seja mais flexível e dimensionável do que o aprendizado em sala de aula, ele tem algumas das mesmas desvantagens. O aprendizado tende a ser passivo, com interatividade limitada e envolvimento ou retenção abaixo da média.
Treinamento gamificado
O treinamento de security awareness gamificado oferecido por provedores como o Guardey é uma solução moderna. É semelhante à abordagem adotada por aplicativos de aprendizado de idiomas como o Duolingo. Em vez de receber uma grande quantidade de informações uma vez por ano, ou como aulas discretas com interação limitada, os alunos recebem um fluxo constante de treinamentos curtos e de fácil digestão.

Com o Guardey, os usuários recebem um desafio semanal que leva cerca de 3 minutos para ser concluído. Durante um desafio, eles aprendem sobre ameaças cibernéticas, como phishing, malware, senhas fracas e IA. Com um bom desempenho durante os desafios, eles podem marcar pontos para a tabela de classificação da organização. A competição amigável entre colegas comprovadamente mantém os usuários envolvidos.
Ao gamificar a experiência de aprendizado, os usuários ficam intrinsecamente motivados a continuar participando. Seja para chegar ao primeiro lugar da tabela de classificação, continuar com suas sequências de semanas consecutivas jogadas ou simplesmente para melhorar sua própria pontuação máxima.
Como fazer com que sua organização participe do treinamento security awareness
Você decidiu que a aprendizagem gamificada é a solução ideal para as necessidades de treinamento em segurança da sua organização. Você encontrou alguns produtos excelentes que atendem a todos os seus requisitos. Agora vem a parte difícil: persuadir sua organização a adotar uma nova solução de treinamento.
As pessoas podem estar relutantes em mergulhar no treinamento de segurança gamificado por vários motivos. Você precisará responder a muitas perguntas. O que é security awareness? Como isso beneficia a organização? As pessoas que já passaram por uma aula anual de segurança cibernética podem achar que não têm nada a ganhar com o treinamento contínuo. Os gerentes e executivos podem acreditar que sua equipe é muito perspicaz para ser enganada por um e-mail phishing ou por um pen drive misterioso no estacionamento. Aqui estão algumas ideias que podem ajudar a persuadir as pessoas e a fazê-las participar.
Organize uma semana de conscientização sobre security awareness : um evento divertido e envolvente security awareness pode ajudar a deixar as pessoas entusiasmadas com a segurança cibernética e ansiosas por saber mais.
Realize uma simulação de spear phishing: uma simulação realista de spear phishing direcionada a indivíduos-chave pode ajudar a demonstrar que qualquer pessoa em sua organização pode estar vulnerável.
Recrute um palestrante convidado: Um palestrante especializado pode ajudar as pessoas a aceitarem seu ponto de vista de forma mais eficaz do que informações abstratas. Pode ser uma vítima de crime cibernético, um especialista em segurança ou até mesmo um hacker ético de "chapéu branco".
Como as organizações holandesas estão treinando security awareness
Aqui estão alguns exemplos de organizações holandesas que implementaram com sucesso o treinamento security awareness para seus funcionários.
EyeOn

EyeOn é uma empresa especializada em previsão e planejamento, que ajuda empresas internacionais a gerenciar os desafios da cadeia de suprimentos. A EyeOn é responsável por uma grande quantidade de dados de suas empresas clientes, que precisam ser tratados com segurança. A empresa adotou uma solução de treinamento em segurança cibernética gamificada para garantir que sua equipe estivesse à altura do desafio e para alinhar sua segurança com os requisitos da certificação ISO27001.
Eles introduziram o novo programa de treinamento entre os funcionários com o que chamaram de semana de security awareness . "Começávamos todos os dias com uma entrevista de 15 minutos e chamávamos isso de atualização de segurança. Cada dia tinha um tema específico. O primeiro foi chamado de 'da mesa ao destino'. Tratava-se de medidas de segurança durante a viagem, como o uso de uma tela de segurança, o armazenamento seguro do laptop e assim por diante. Outro tema foi sobre dados confidenciais, que foi o que chamamos de 'como não ter problemas com a SEC'."
Prêmio

A Priore oferece serviços de consultoria contábil e tributária. Com a responsabilidade pelas informações financeiras confidenciais dos clientes, a segurança cibernética é vital para eles. A Priore queria manter um alto nível de security awareness entre sua equipe o tempo todo. Por isso, trocou um curso anual de segurança cibernética por uma solução que proporcionasse aprendizado contínuo: Guardey.
"80% da organização começou a se envolver ativamente imediatamente após o primeiro e-mail de apresentação. Depois de um ou dois meses, todos, com exceção de uma ou duas pessoas, estavam usando o Guardey toda semana. Tudo isso se deveu à motivação intrínseca e à compreensão da importância da security awareness. Não há incentivos, como um prêmio mensal ou algo assim, então ainda podemos tentar isso se a participação diminuir."
Konot

KONOT é uma fundação educacional que oferece educação em 22 escolas primárias holandesas. A organização precisava de uma solução de treinamento de security awareness que a alinhasse com o GDPR. Já tendo sido alvo de vários ataques cibernéticos fracassados, a KONOT precisava de um produto de treinamento que mantivesse sua equipe informada e consciente o tempo todo. Eles adotaram o Guardey para oferecer treinamento e avaliação contínuos e garantir uma security awareness consistente.
A KONOT lançou recentemente o Guardey, e os usuários já estão recebendo os primeiros comentários. "O primeiro feedback que recebemos é entusiasmado. O Guardey os tornou realmente competitivos, o que é um bom sinal", diz Martijn. "É muito acessível, o que eu aprecio. Alguns poucos estavam menos entusiasmados com o conceito de conscientização do treinamento antes de começarmos, mas faremos uma avaliação com eles em breve." Frieda continua: "Não sou uma jogadora, mas também notei que continuei enfrentando novos desafios. É muito fácil passar pelas perguntas."
Vinhos Delta

Delta Wines é uma empresa atacadista de vinhos. Quando o provedor de seguros enfatizou a importância do treinamento security awareness e a futura diretriz NIS2, o CEO da Delta Wines entrou em ação. Para que todos participassem do treinamento, foi realizada uma simulação de phishing que foi um valioso alerta para muitas pessoas. Depois que muitos funcionários foram enganados pelo e-mail convincente, eles se mostraram muito receptivos a um treinamento adicional.
"Estamos recebendo muitos comentários positivos. Muitos funcionários começam imediatamente a jogar o novo desafio semanal assim que recebem o e-mail informando que ele está pronto. Alguns deles ficam seriamente desapontados quando erram uma pergunta. Isso deu início a várias discussões internas sobre segurança, o que é ótimo."
Marca registrada em Amsterdã

O Gezamenlijke Brandweer Amsterdam (Corpo de Bombeiros Unido de Amsterdã) é um importante corpo de bombeiros, encarregado de responder a incidentes em uma área industrial de Amsterdã. Se um corpo de bombeiros for vítima de um ataque cibernético, os resultados podem ser catastróficos. O departamento também precisava estar em conformidade com os requisitos do NIS2. O líder da equipe, Raymond Pikee, queria uma solução de treinamento recorrente que fosse divertida e envolvente.
Na tabela de classificação, os bombeiros podem ver como estão se saindo em comparação com seus colegas, o que aumenta a competição interna. "Somos um grupo competitivo, então esse é um toque agradável. Esses elementos de gamificação tornam divertido jogar Guardey, o que também nos ajuda a lembrar das informações."
Como começar a implementar o treinamento security awareness
Agora que você entende os conceitos básicos do treinamento security awareness , pode começar a pesquisar um provedor de treinamento que melhor atenda às suas necessidades.
Na Guardey, oferecemos um treinamento security awareness gamificado que se concentra em manter os usuários envolvidos durante longos períodos de tempo. Com o uso de um placar de líderes, conquistas, sequências de sucesso e outros elementos de gamificação, os usuários têm uma sensação de competição amigável que aumenta a participação.
Inicie uma avaliação gratuita de 14 dias
Experimente gratuitamente a plataforma de treinamento de security awareness gamificada do Guardey.
Iniciar teste gratuito