Você sabia que a maioria das violações de dados e ataques cibernéticos são bem-sucedidos devido a erro humano ou falta de atenção?

A Verizon e a IBM relatam que cerca de 30% dos destinatários de e-mail realmente abrem mensagens de phishing. Enquanto isso, o relatório de segurança de dados de 2016 da Forrester descobriu que 41% das violações de dados naquele ano ocorreram devido a incidentes internos, tornando-se a maior fonte de ataques bem-sucedidos.

A maioria dos incidentes internos não são intencionais. Cerca de 65% dos ataques vêm de usuários que abrem mão de suas credenciais ou instalam malware às cegas. Simplificando, esses usuários finais não conhecem nada melhor. Isso ocorre porque eles não foram ensinados.

Essas abordagens nefastas funcionam. “Até 81% das violações relacionadas a hackers no último ano utilizaram senhas roubadas ou fracas, de acordo com o Relatório de investigações de violação de dados de 2017, e 1 em cada 14 usuários admitiu ter sido induzido a seguir um link ou abrir um anexo que não deveria', afirmou. escreveu Michelle Drolet, fundadora do provedor de serviços de dados Towerwall em um CSOonline blog

Como MSP, você deve proteger os computadores e fazer a limpeza quando algo der errado. Um RMM possibilita a correção e instala patches e atualizações para proteger contra ataques. Apesar desses esforços, os usuários ainda abrem mensagens maliciosas, clicam em links perigosos e são induzidos a divulgar logons e senhas.

A resposta? Treinamento de conscientização sobre segurança, que você pode oferecer como um serviço separado ou incorporar um serviço de segurança, tornando-o infinitamente mais robusto e cobrando um valor premium.

Provavelmente, os funcionários que dirigem seu MSP são bem versados em segurança. Se seus clientes obtiverem a mesma perspicácia, inúmeras violações e ataques poderão ser frustrados.

Embora você possa ter um banco de segurança profundo, seus profissionais de tecnologia não são professores. Em vez de criar seu próprio serviço de treinamento de conscientização em segurança, pense em trabalhar com terceiros, seja um fornecedor de software ou uma consultoria.

Webroot, por exemplo, tem um treinamento de conscientização de segurança oferta que os MSPs podem implementar. “Com treinamento contínuo, relevante e envolvente de conscientização sobre segurança cibernética - como simulações de phishing, cursos sobre práticas recomendadas de TI e segurança e treinamento em proteção de dados e conformidade quando relevante - as empresas podem reduzir significativamente os riscos que enfrentam devido a erros do usuário. O Treinamento de Conscientização sobre Segurança da Webroot garante que pessoas, processos e tecnologia sejam aproveitados de forma eficaz para impedir os criminosos cibernéticos”, disse ele. a empresa explica em seu site. “Para manter o sucesso e aumentar os lucros, os MSPs de hoje precisam de automação e gerenciamento simples e de baixa manutenção. “Se você precisa executar um programa de conformidade, simulações de phishing ou educação contínua do usuário para reduzir as taxas de infecção, nosso treinamento integrado torna simples e direta a execução de programas de conscientização de segurança totalmente responsáveis e contínuos.”

Pesquisa mostra valor

A Forrester analisou o valor da conscientização sobre segurança por meio de uma entrevista detalhada com um cliente da KnowBe4. O retorno foi impressionante. “O cliente entrevistado obteve benefícios ajustados ao risco em três anos de US$ 413.634 versus custos de US$ 182.125, resultando em um valor presente líquido (NPV) de US$ 231.509”, concluiu o relatório. “Redução nos custos de remediação de violações (US$ 102.778). Este benefício centra-se na redução de eventos de violação decorrentes de ataques de phishing aos utilizadores.”

No entanto, as lojas não pagam pela formação para obter retorno económico – fazem-no para impedir violações. “A redução de violações reduz proporcionalmente o tempo e o esforço relacionados às tarefas de correção, como recriação de imagens de estações de trabalho e recuperação de servidores. O cliente destacou que esses eventos foram reduzidos de dois dígitos a cada mês antes da adoção do KnowBe4 para dois dígitos, um dígito e, finalmente, para zero dentro de um ano após a implantação do KnowBe4”, concluíram os pesquisadores.

Um MSP, AGJ Systems & Networks, está avançando no treinamento, de acordo com uma entrevista com TechTarget. “Treinar o seu pessoal é uma das primeiras linhas de defesa”, disse Ryan Giles, CEO da AGJ.

A AGJ incorporou o treinamento em seu serviço de segurança MSP , e vai ao local para treinar. Também envia um e-mail com dicas de treinamento quinzenalmente.

Outro terceiro, o Security Mentor, oferece treinamento de conscientização de segurança que pretende vender por meio de MSPs, disse Marie White, CEO e presidente. “Estamos explorando relacionamentos com vários MSPs que desejam incluir nosso treinamento como parte de sua oferta principal”, disse White à TechTarget.

Dicas de treinamento

Os especialistas sugerem que você use diversas abordagens para ministrar o treinamento. No local é ideal, mas on-line também funciona, assim como listas de e-mail e direcionamento de clientes para sites com recursos cruciais.

Acompanhe e teste seu treinamento. Aqui você deseja ter certeza de que os clientes realmente concluíram o trabalho e, em seguida, testar a eficácia rastreando violações, ataques, incursões e incidentes. Você também pode enviar questionários aos alunos para avaliar o que aprenderam e o que resta para ensinar.

Aqui estão alguns tópicos a serem abordados:

• phishing
• Engenharia social
• resistindo a malware
• práticas de senha
• uso de dispositivos portáteis
• questões de acesso físico, como cuidados com cartões-chave
• o uso de criptografia
• como evitar e se recuperar de uma violação de dados