Giv medarbejderne den nødvendige viden til at opdage advarselstegnene på et cyberangreb og for at forstå, hvornår de kan bringe følsomme data i fare
Der er et gammelt ordsprog inden for cybersikkerhed, at mennesker er det svageste led i sikkerhedskæden. Det er i stigende grad sandt, da trusselsaktører konkurrerer om at udnytte godtroende eller skødesløse medarbejdere. Men det er også muligt at gøre det svage led til en formidabel første forsvarslinje. Nøglen er at udrulle en effektiv træningsprogram for sikkerhedsbevidsthed.
Forskning afslører at 82 % af de databrud, der blev analyseret i 2021, involverede et "menneskeligt element". Det er en uundgåelig kendsgerning af moderne cybertrusler, at medarbejdere repræsenterer et topmål for angreb. Men giv dem den nødvendige viden til at opdage advarselstegnene på et angreb og for at forstå, hvornår de kan udsætte følsomme data i fare, og der er en enorm mulighed for at fremme indsatsen for risikobegrænsning.
Hvad er træning i sikkerhedsbevidsthed?
Bevidsthedstræning er måske ikke den bedste betegnelse for, hvad it- og sikkerhedsledere ønsker at opnå i deres programmer. I virkeligheden er målet at ændre adfærd gennem forbedret uddannelse om, hvor de vigtigste cyberrisici ligger, og hvilke enkle bedste praksisser, der kan læres for at afbøde dem. Det er en formaliseret proces, der ideelt set bør dække en række emneområder og teknikker for at give medarbejderne mulighed for at træffe de rigtige beslutninger. Som sådan kan det ses som en grundpille for organisationer, der ønsker at skabe en security-by-design virksomhedskultur.
Hvorfor er træning i sikkerhedsbevidsthed nødvendig?
Som enhver form for træningsprogram er ideen at forbedre den enkeltes færdigheder for at gøre dem til en bedre medarbejder. I dette tilfælde, at forbedre deres sikkerhedsbevidsthed vil ikke kun stå den enkelte til gode, når de navigerer i forskellige roller, men det vil reducere risikoen for en potentiel skadeligt sikkerhedsbrud.
Sandheden er, at virksomhedsbrugere sidder i hjertet af enhver organisation. Hvis de kan hackes, så kan organisationen også. På lignende måde øger den adgang, de har til følsomme data og it-systemer, risikoen for, at der sker ulykker, som også kan påvirke virksomheden negativt.
Flere tendenser fremhæver det presserende behov for træningsprogrammer for sikkerhedsbevidsthed:
Adgangskoder: Statiske legitimationsoplysninger har eksisteret lige så længe som computersystemer. Og på trods af sikkerhedseksperternes bønfald gennem årene, er de stadig den mest populære metode til brugergodkendelse. Årsagen er enkel: folk ved instinktivt, hvordan de skal bruge dem. Udfordringen er, at de også er en stort mål for hackere. Det lykkes at narre en medarbejder til at aflevere dem, eller endda gætte dem, og ofte er der ikke andet, der står i vejen for fuld netværksadgang.
Over halvdelen af de amerikanske ansatte har skrevet adgangskoder ned på pen og papir, ifølge et skøn. Dårlig adgangskodepraksis åbne døren for hackere. Og efterhånden som antallet af legitimationsoplysninger, som medarbejderne skal huske, vokser, vokser også sandsynligheden for misbrug.
Social teknik: Mennesker er omgængelige skabninger. Det gør os modtagelige for overtalelse. Vi vil gerne tro på de historier, vi får fortalt, og på den person, der fortæller dem. Dette er hvorfor social engineering virker: trusselsaktørers brug af overbevisende teknikker såsom tidspres og efterligning for at narre offeret til at gøre deres bud. De bedste eksempler er Phishing e-mails, tekster (aka smishing), og telefonopkald (aka vishing), men det bruges også i business email compromise (BEC) angreb og andre svindelnumre.
Cyberkriminalitetsøkonomien: I dag har disse trusselsaktører et komplekst og sofistikeret underjordisk netværk af mørke websteder, hvor de kan købe og sælge data og tjenester – alt fra skudsikker hosting til ransomware-as-a-service. Det er siges at være billioner værd. Denne "professionalisering" af cyberkriminalitetsindustrien har naturligt fået trusselsaktører til at fokusere deres indsats, hvor investeringsafkastet er højest. I mange tilfælde betyder det at målrette brugerne selv: virksomhedens medarbejdere og forbrugere.
Hybrid arbejde: Hjemmearbejdere er troede at være mere tilbøjelige til at klikke på phishing-links og engagere sig i risikabel adfærd, såsom at bruge arbejdsenheder til personlig brug. Som sådan, fremkomsten af en ny æra af hybrid arbejde har åbnet døren for angribere til at målrette virksomhedens brugere, når de er mest sårbare. Det er ikke at nævne det faktum, at hjemmenetværk og computere kan være mindre godt beskyttet end deres kontorbaserede ækvivalenter.
Hvorfor betyder træning noget?
I sidste ende kan et alvorligt sikkerhedsbrud, uanset om det er et resultat af tredjepartsangreb eller en utilsigtet afsløring af data, resultere i større økonomisk og omdømmeskader. EN nylig undersøgelse afsløret at 20 % af de virksomheder, der led et sådant brud, næsten gik konkurs som følge heraf. Separat forskning hævder, at de gennemsnitlige omkostninger ved et databrud globalt nu er højere end nogensinde: over 4.2 mio. USD.
Det er ikke kun en omkostningsberegning for arbejdsgiverne. Mange regler som HIPAA, PCI DSS og Sarbanes-Oxley (SOX) kræver, at organisationer, der overholder dem, kører medarbejders sikkerhedsbevidsthedstræningsprogrammer.
Hvordan man får oplysningsprogrammer til at fungere
Vi har forklaret "hvorfor", men hvad med "hvordan"? CISO'er bør starte med at rådføre sig med HR-teams, som normalt leder virksomhedens træningsprogrammer. De kan muligvis yde ad hoc-rådgivning eller mere koordineret støtte.
Blandt de områder, der skal dækkes, kunne være:
- Social engineering og phishing/vishing/smishing
- Utilsigtet videregivelse via e-mail
- Webbeskyttelse (sikker søgning og brug af offentligt Wi-Fi)
- Adgangskode bedste praksis og multi-faktor godkendelse
- Sikker fjernbetjening og hjemmearbejde
- Sådan spotter du insidertrusler
Frem for alt skal du huske på, at lektioner bør være:
- Sjovt og gamificeret (tænk positiv forstærkning frem for frygtbaserede budskaber)
- Baseret på simuleringsøvelser i den virkelige verden
- Løb kontinuerligt hele året i korte lektioner (10-15 minutter)
- Inklusiv alle medarbejdere inklusive ledere, deltidsansatte og entreprenører
- I stand til at generere resultater, som kan bruges til at tilpasse programmer, så de passer til individuelle behov
- Skræddersyet til at passe til forskellige roller
Når alt dette er besluttet, er det vigtigt at finde den rigtige uddannelsesudbyder. Den gode nyhed er, at der er masser af muligheder online til en række prisklasser, inklusive gratis værktøjer. I lyset af nutidens trusselslandskab er passivitet ikke en mulighed.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Vi lever sikkerhed
- website sikkerhed
- zephyrnet
