Aviso: este texto foi traduzido com o uso de tradução automática e pode conter erros. Responda a esta pesquisa para nos enviar seus comentários e obtenha mais informações em nossas perguntas frequentes.
Read in English

No filme Qualquer domingo, Al Pacino dá um discurso memorável para seu time de futebol perdedor. O discurso destaca uma lição fundamental para as equipes: confiar em si mesmas e em seus colegas de equipe é fundamental para o sucesso. Assim como as equipes esportivas de elite dependem da confiança dos jogadores para ter o melhor desempenho, a segurança cibernética depende da confiança em computadores, pessoas e organizações. Confiamos que os computadores funcionarão de forma confiável e consistente, assim como confiamos em nossos colegas de equipe para se destacarem em suas funções organizacionais. Assim como no esporte, criar confiança em uma equipe de segurança cibernética é essencial para o sucesso. Ao enfatizar um comportamento confiável e repetível, indivíduos e equipes podem desenvolver a confiança necessária para atuar de forma eficaz em qualquer situação que enfrentarem.

Nossa experiência na Divisão CERT do Instituto de Engenharia de Software da Carnegie Mellon está em Desenvolvimento da força de trabalho cibernética. Nosso trabalho ajuda as organizações a adquirirem as habilidades de que precisam como equipe para combater as ameaças cibernéticas. De muitas maneiras, os líderes de negócios funcionam como coaches, ajudando os funcionários a desenvolver habilidades cruciais para tornar a organização bem-sucedida. Assim como as equipes esportivas devem treinar e praticar para criar confiança e coesão, as empresas devem fazer isso para garantir alta produtividade em um ambiente de trabalho em evolução. Acreditamos que o treinamento individual e os exercícios em equipe podem ajudar a criar uma clara vantagem comercial. Por meio de exercícios e treinos repetitivos, jogadores individuais podem se tornar especialistas no assunto em ferramentas ou técnicas específicas, enquanto as equipes podem responder coletivamente da melhor maneira possível a qualquer cenário que possam enfrentar. Sua organização deve praticar e treinar constantemente e consistentemente para eventos de segurança cibernética, desenvolvendo os músculos e as habilidades necessárias para responder quando um ataque ocorrer inevitavelmente.

Identifique as principais habilidades de segurança cibernética para sua organização

Assim como os treinadores definem o estilo de jogo de suas equipes, o desenvolvimento de um programa eficaz de treinamento em segurança cibernética exige a identificação das habilidades e conhecimentos específicos necessários para enfrentar as ameaças cibernéticas de uma forma que se alinhe às metas e objetivos da organização. Há várias maneiras de fazer isso.

  • Faça uma análise da lacuna de habilidades comparando as habilidades de sua força de trabalho com as necessárias para enfrentar ameaças cibernéticas. Instituto Nacional de Padrões e Tecnologia (NIST) Estrutura da força de trabalho de cibersegurança da NICE é um recurso útil para identificar as habilidades e os conhecimentos necessários para uma equipe de segurança cibernética eficaz. Analisar suas políticas, procedimentos e protocolos de segurança é outro bom ponto de partida.
  • Analise os padrões do setor com organizações como NINHO e CISSA para garantir que sua organização esteja alinhada com as melhores práticas do seu setor e incorpore essas práticas ao seu programa de treinamento em segurança cibernética. Por exemplo, existem controles especiais para organizações que lidam com certos tipos de dados, como dados de saúde e informações de identificação pessoal, portanto, certos setores precisam aderir a regulamentações como Informações de identificação pessoal (PII) ou o Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPPA).
  • Interaja com departamentos e líderes de sua organização para entender suas preocupações e desafios específicos de segurança cibernética. Por exemplo, uma força de vendas global deve considerar o uso de dados à luz de legislações como a da UE Regulamento geral de proteção de dados (GDPR) e o Lei de Privacidade do Consumidor da Califórnia (CCPA). Falar com cada líder de departamento fornecerá informações sobre as necessidades específicas de treinamento em todos os níveis organizacionais.

Desenvolva um plano de melhoria de desempenho para atender à sua estratégia

Depois de identificar as habilidades e os conhecimentos necessários para combater as ameaças cibernéticas, a próxima etapa é desenvolver um programa abrangente de treinamento e exercícios para melhorá-las. Aqui estão as etapas que podem ser tomadas para desenvolver um programa eficaz:

  • Crie simulações para cobrir uma variedade de cenários, incluindo ataques de phishing, ransomware e engenharia social.
  • Como a prática de bloqueio e tackling no futebol, comece com cenários simples que se concentrem nos conceitos principais e aumente gradualmente a complexidade dos cenários. Concentre-se em desenvolver habilidades e confiança antes de enfrentar ameaças mais difíceis.
  • Concentre as simulações em cenários do mundo real que os colegas de equipe provavelmente encontrarão em seu trabalho diário. Isso ajuda a criar confiança na resposta a ameaças específicas e garante que os indivíduos estejam preparados para agir de acordo.

Depois de cada exercício, forneça feedback e discuta o que funcionou bem e o que poderia ser melhorado. Ajudar os colegas de equipe a aprender com seus erros e melhorar suas respostas é uma das lições mais valiosas de qualquer evento de treinamento.

Execute uma campanha contínua de treinamento e exercícios eficazes

Ótimos atletas treinam regularmente. As empresas também devem priorizar o desenvolvimento contínuo de habilidades para se manterem competitivas como tecnologias e ameaças cibernéticas mudam rapidamente. Aqui estão algumas considerações importantes.

  • Os orçamentos de treinamento e exercícios não devem ser sacrificados em medidas de redução de custos. Investir no desenvolvimento de funcionários gera um valor enorme, e nenhuma empresa pode se dar ao luxo de subestimar os custos financeiros de longo prazo de uma violação cibernética.
  • Planejar e programar treinamentos e exercícios é crucial; permite que as equipes avaliem seu desempenho. Ao identificar regularmente áreas de melhoria, as equipes podem planejar e executar com mais eficiência no futuro. Além disso, reservar um tempo para revisar e avaliar o desempenho passado pode levar a decisões mais informadas sobre quais cenários exercitar e quais ferramentas usar em futuras sessões de treinamento.
  • Os exercícios em equipe devem ser feitos regularmente e com as mesmas ferramentas, técnicas e procedimentos usados nas operações diárias para construir uma memória muscular útil em situações do mundo real.

Em seu discurso, Pacino diz: “Você descobre que a vida é um jogo de polegadas; o futebol também”. O mesmo acontece com a cibersegurança. Cada centímetro de progresso conta. As ameaças atuais são mais sofisticadas e generalizadas do que as anteriores, e não é uma questão de E se uma organização enfrentará um ataque cibernético, mas quando. É por isso que é crucial que os líderes de negócios priorizem o treinamento e os exercícios de segurança cibernética como um componente essencial de sua postura geral de segurança. Ao identificar as habilidades e conhecimentos específicos necessários para combater eficazmente as ameaças, planejar e programar treinamentos e exercícios e interagir com as principais partes interessadas para entender as necessidades específicas de treinamento de sua organização, as empresas podem formar uma equipe mais forte e confiante. Investir no desenvolvimento dos funcionários por meio de programas formais de treinamento e exercícios contínuos pode gerar um valor enorme e ajudar as empresas a se manterem à frente dos adversários no cenário de segurança cibernética em constante mudança.