Formação em cibersegurança: a primeira linha de defesa

Autor:
Paulo Alexandre
IT Director, SGS Portugal
 

Sabia que os trabalhadores de uma empresa podem ser a primeira linha de defesa contra ciberataques? Para isso, há que apostar na formação em cibersegurança.

Se até recentemente a cibersegurança era apenas vista como um desafio das TIC, atualmente, fruto do aumento do número de ataques cibernéticos e sobretudo do resultado causado pelos mesmos, que se tem traduzido em cada vez maiores perdas, a ideia é outra. A segurança cibernética tornou-se um risco empresarial e a formação em cibersegurança tornou-se essencial ao ficar claro que a primeira linha de defesa são os trabalhadores das empresas.

Formação em cibersegurança 

São vários os motivos que tornam os trabalhadores uma peça essencial no puzzle da cibersegurança. Não só são eles, muitas vezes, os primeiros a encontrar potenciais ameaças, como podem também ser eles os potenciadores dessas ameaças: segundo os dados de um relatório do Departamento de Digital, Cultura, Media e Desporto do governo do Reino Unido, em 2021, 39% das empresas naquela região identificaram um ciberataque, com o phishing a destacar-se como a forma mais comum.

Torna-se, por isso, essencial dotar os trabalhadores das ferramentas e conhecimentos que lhes permitam identificar as ameaças e saber como responder às mesmas. Mas de que forma as empresas podem posicionar os seus funcionários como a primeira linha de defesa? A resposta está na formação em cibersegurança.

Política Abrangente

Antes de se falar em qualquer tipo de formação em cibersegurança é preciso, no entanto, que as empresas definam uma política de cibersegurança clara e que inclua as melhores práticas, procedimentos, ações e diretrizes que os trabalhadores devem seguir para manter a segurança dos dados e dos sistemas da organização em que trabalham. 

Da gestão de palavras-passe, à segurança do e-mail, sem esquecer o uso de dispositivos móveis ou a presença nas redes sociais, são vários os temas que devem ser incluídos, temas estes que têm de ser revistos e atualizados regularmente, para que se consiga acompanhar a evolução das ciberameaças.

É essencial a criação de uma cultura que defenda uma boa higiene cibernética e que esta seja prioritária, com o exemplo a vir de cima, ou seja, da liderança. Há que reforçar a ideia de que, ainda que o risco esteja sempre presente, os trabalhadores que estejam conscientes da situação e que tenham a cibersegurança em mente vão ser capazes de lhe dar resposta.

Capacitação

A preparação das pessoas é o passo seguinte. É importante explicar-lhes que, quando o que está em causa é a cibersegurança, apenas um funcionário pode causar um enorme impacto na organização, tanto de forma positiva como negativa.

Mas para serem bem-sucedidos, os programas de formação em cibersegurança devem ter atenção a:

- Métodos de aprendizagem

É importante testar a capacidade dos trabalhadores para reconhecerem tentativas de ciberataques, pelo que a formação deve ter uma forte componente prática, podendo assumir diversos formatos, de workshops a seminários, sem esquecer os e-learnings, que oferecem opções de aprendizagem flexíveis e individualizadas.

Uma formação que deve abranger os diversos tipos de ciberameaças, como phishing, malware, ransomware e ataques de engenharia social e deve ajudar os funcionários a conseguirem identificar e-mails, sites e anexos suspeitos e a responder adequadamente quando se encontram perante potenciais ameaças. 

- Regularidade e adaptação às novas ameaças

A formação em cibersegurança não deve ser um evento único, sobretudo porque estamos a falar de um mundo em constante mudança, que exige, por isso mesmo, atualizações regulares, que são a melhor garantia de que os conhecimentos que os colaboradores têm estão atualizados.

- Recursos contínuos

O apoio e recursos fornecidos aos trabalhadores devem ser contínuos, assim como a partilha de atualizações regulares sobre as mais recentes ameaças cibernéticas e as melhores práticas. 

- Avaliação de eficácia

Não basta apenas formar as pessoas. É essencial avaliar o impacto dos programas de formação para garantir que estes vão ao encontro das necessidades da empresa. Para isso, é importante realizar questionários para aferir os níveis de conhecimento dos funcionários e criar mecanismos de recolha de feedback, assim como fazer avaliações e auditorias regulares. Avaliações que devem medir os níveis de conhecimento e a adesão dos trabalhadores às políticas e procedimentos de cibersegurança, e cujos resultados podem ajudar a identificar áreas onde são necessários recursos adicionais.

Além disso, é também importante a realização de auditorias por especialistas externos em cibersegurança, capazes de fornecer uma avaliação objetiva sobre a postura geral de uma organização nesta matéria.

Ao promover uma cultura de sensibilização para a segurança e de aprendizagem contínua, as empresas não só se protegem a si próprias, como também contribuem para o reforço da cibersegurança da região onde se encontram. E num ambiente onde as ameaças estão em constante evolução, não há grandes dúvidas que trabalhadores capacitados é um dos fatores importantes para a manutenção de defesas fortes e para a garantia de um sucesso a longo prazo.