Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
CIS Control 14: Treinamento de Conscientização e Habilidades de Segurança

CIS Control 14: Treinamento de Conscientização e Habilidades de Segurança

Mar 25, 2022

O CIS Control 14 diz respeito à implementação e operação de um programa que melhora a consciência e as habilidades de cibersegurança dos funcionários. (Antes da versão 8 dos Critical Security Controls, esta área era coberta pelo CIS Control 17.)
Este controle é importante porque a falta de consciência de segurança entre as pessoas dentro da sua rede pode rapidamente levar a devastadoras data breaches, tempo de inatividade, roubo de identidade e outros problemas de segurança. Por exemplo, hackers frequentemente manipulam ou enganam funcionários para abrir conteúdo malicioso e desistir de informações protegidas e, em seguida, aproveitam práticas corporativas deficientes, como compartilhamento de senhas, para causar ainda mais danos.

Conteúdo relacionado selecionado:

Por que o treinamento em cibersegurança é essencial

Pesquisas revelam o seguinte sobre as causas de violações de dados:

  • Cerca de 30% dos incidentes são devidos a erros humanos, como enviar informações sensíveis para a pessoa errada ou deixar um computador desbloqueado em um local que permite acesso não autorizado a sistemas e dados.
  • Outros 28% dos vazamentos de dados são devido a ataques de phishing, nos quais os trabalhadores abrem e-mails com vírus ou keyloggers.
  • Políticas de senhas fracas são responsáveis por cerca de 26% de todas as violações de dados. Por exemplo, o uso de senhas compartilhadas e a permissão de senhas simples aumentam significativamente o risco de uma violação de dados.

Conteúdo relacionado selecionado:

Infelizmente, menos de 25% das organizações realizam vulnerability assessments regularmente, 43% admitem que não têm certeza do que seus funcionários fazem com dados sensíveis e outros recursos, e apenas 17% possuem um plano de resposta a incidentes. Para se proteger, sua organização precisa ser capaz de:

  • Realize testes de segurança de TI regularmente
  • Detecte violações de dados em seus estágios iniciais
  • Responda rapidamente a incidentes de segurança
  • Descubra o escopo e o impacto de uma violação
  • Tenha um plano para recuperar dados, serviços e sistemas afetados

Como o CIS Control 14 pode ajudar

O CIS Control 14 pode ajudar a fortalecer a cibersegurança e a proteção de dados na sua organização, bem como a passar em auditorias de conformidade. Ele é baseado nos seguintes passos:

14.1 Estabeleça e Mantenha um Programa de Conscientização sobre Segurança

O seu programa de conscientização de segurança deve garantir que todos os membros da sua força de trabalho compreendam e demonstrem os comportamentos corretos que ajudarão a manter a segurança da organização. O programa de conscientização de segurança deve ser envolvente e precisa ser repetido regularmente para que esteja sempre presente na mente dos trabalhadores. Em alguns casos, o treinamento anual é suficiente, mas quando os trabalhadores são novos nos protocolos de segurança, podem ser necessários reforços mais frequentes.

14.2 Treinar os membros da equipe para reconhecer ataques de engenharia social

A próxima melhor prática é treinar todo o seu pessoal para reconhecer e identificar ataques de engenharia social. Certifique-se de cobrir os vários tipos de ataques, incluindo golpes por telefone, chamadas de personificação e golpes de phishing.

Conteúdo relacionado selecionado:

14.3 Treine os membros da equipe nas melhores práticas de autenticação

A autenticação segura bloqueia ataques aos seus sistemas e dados. Os membros da força de trabalho devem entender o motivo pelo qual a autenticação segura é importante e o risco associado à tentativa de contornar processos corporativos. Tipos comuns de autenticação incluem:

  • Autenticação baseada em senha
  • Autenticação multifator
  • Autenticação baseada em certificado

14.4 Treinar a equipe nas melhores práticas para o manuseio de dados

Os trabalhadores também precisam de treinamento sobre o gerenciamento adequado de dados sensíveis, incluindo como identificar, armazenar, arquivar, transferir e destruir informações sensíveis. Por exemplo, o treinamento básico pode incluir como bloquear suas telas ao se afastar de um computador e apagar dados sensíveis de um quadro branco virtual entre reuniões.

14.5 Treinar os membros da equipe sobre as causas da exposição não intencional de dados

As causas da exposição não intencional de dados incluem a perda de dispositivos móveis, o envio de e-mails para a pessoa errada e o armazenamento de dados em locais onde usuários autorizados podem visualizá-los. Certifique-se de que seus funcionários entendam suas opções de publicação e a importância de ter cuidado ao usar e-mails e dispositivos móveis.

14.6 Treinar os membros da equipe sobre como reconhecer e relatar incidentes de segurança

Seus funcionários devem ser capazes de identificar os indicadores comuns de incidentes e saber como relatá-los. Para quem eles ligam se suspeitarem que receberam um e-mail de phishing ou perderam o celular corporativo? Para simplificar o processo, considere designar uma pessoa como o primeiro ponto de contato para todos os incidentes.

14.7 Treine os usuários sobre como identificar e relatar se os ativos empresariais deles estão sem as atualizações de segurança

A sua força de trabalho deve ser capaz de testar seus sistemas e relatar atualizações de software que estão desatualizadas, bem como problemas com ferramentas e processos automatizados. Eles também devem saber quando entrar em contato com o pessoal de TI antes de aceitar ou recusar uma atualização para ter certeza de que uma atualização é necessária e funcionará com o software atual no sistema.

14.8 Treinar a força de trabalho sobre os perigos de conectar e transmitir dados empresariais em redes inseguras

Todos devem estar cientes dos perigos de se conectar a redes inseguras. Os trabalhadores remotos devem receber treinamento adicional para garantir que suas redes domésticas estejam configuradas de forma segura.

14.9 Realize Treinamento de Conscientização e Habilidades de Segurança Específicas por Função

Personalizar sua conscientização de segurança e treinamento de habilidades com base nos papéis dos usuários pode torná-lo mais eficaz e envolvente. Por exemplo, considere implementar treinamento avançado de conscientização sobre engenharia social para funções de alto perfil que provavelmente serão alvo de ataques de spear phishing ou baleia.

Resumo

Estabelecer um treinamento de conscientização e habilidades de segurança conforme detalhado no CIS Control 14 pode ajudar sua organização a fortalecer a cibersegurança. De fato, fornecer treinamento eficaz e regular pode ajudar a prevenir violações devastadoras de dados, roubo de propriedade intelectual, perda de dados, danos físicos, interrupções de sistema e penalidades de conformidade.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança