Küberturvalisuse teadlikkuse tõstmise koolitus: mis see on ja mis töötab kõige paremini?

Küberturvalisuses kehtib vana kõnekäänd, et inimesed on turvaahela nõrgim lüli. See on üha enam tõsi, kuna ohus osalejad võistlevad kergeusklike või hooletute töötajate ärakasutamise nimel. Kuid on ka võimalik muuta see nõrk lüli võimsaks esimeseks kaitseliiniks. Võti on tõhusa väljatöötamine turvateadlikkuse koolitusprogramm.

Uuringud näitavad et 82% 2021. aastal analüüsitud andmetega seotud rikkumistest hõlmas "inimlikku elementi". Kaasaegsete küberohtude vältimatu tõsiasi on, et töötajad on rünnaku peamine sihtmärk. Kuid andke neile teadmised, mis on vajalikud rünnaku hoiatusmärkide tuvastamiseks ja mõistmiseks, millal nad võivad tundlikke andmeid ohtu seada, ning seal on tohutu võimalus riskide vähendamise jõupingutusi edendada.

Mis on turvateadlikkuse koolitus?

Teadlikkuse tõstmise koolitus pole võib-olla parim nimetus selle kohta, mida IT- ja turbejuhid soovivad oma programmides saavutada. Tegelikkuses on eesmärk muuta käitumist täiustatud hariduse kaudu selle kohta, kus peituvad peamised küberriskid ja milliseid lihtsaid parimaid tavasid saab nende leevendamiseks õppida. See on ametlik protsess, mis peaks ideaalis hõlmama mitmesuguseid teemavaldkondi ja tehnikaid, et anda töötajatele võimalus teha õigeid otsuseid. Sellisena võib seda vaadelda kui alussammast organisatsioonidele, kes soovivad luua a konstruktsioonipõhine turvalisus ärikultuuri.

Miks on turvateadlikkuse koolitus vajalik?

Nagu igat tüüpi koolitusprogrammide puhul, on selle idee eesmärk parandada üksikisiku oskusi, et muuta ta paremaks töötajaks. Sel juhul, suurendada nende turvateadlikkust see mitte ainult ei aita üksikisikut erinevates rollides navigeerimisel, vaid vähendab potentsiaalselt kahjustav turvarikkumine.

Tõde on see, et ettevõtte kasutajad on iga organisatsiooni südames. Kui neid saab häkkida, saab seda ka organisatsiooni. Samamoodi suurendab nende juurdepääs tundlikele andmetele ja IT-süsteemidele õnnetuste ohtu, mis võivad samuti ettevõtet negatiivselt mõjutada.

Mitmed suundumused rõhutavad tungivat vajadust turvateadlikkuse koolitusprogrammide järele:

Paroolid: Staatilised mandaadid on eksisteerinud sama kaua kui arvutisüsteemid. Ja vaatamata turvaekspertide aastatepikkusele palvele, on need endiselt kõige populaarsem kasutaja autentimise meetod. Põhjus on lihtne: inimesed teavad instinktiivselt, kuidas neid kasutada. Väljakutse seisneb selles, et nad on ka a suur sihtmärk häkkerite jaoks. Saate töötajat petta neid üle andma või isegi ära arvata, ja sageli ei takista miski muu täielikku juurdepääsu võrgule.

Vastavalt andmetele on üle poole Ameerika töötajatest paroolid pastakale ja paberile kirja pannud üks hinnang. Halvad paroolitavad avage uks häkkeritele. Ja kuna kasvab volituste arv, mida töötajad peavad meeles pidama, kasvab ka väärkasutuse tõenäosus.

Sotsiaalne manipuleerimine: Inimene on seltskondlik olevus. See muudab meid veenmisele vastuvõtlikuks. Me tahame uskuda lugusid, mida meile räägitakse, ja inimest, kes neid räägib. See on miks sotsiaalne insener töötab: ohus osalejad kasutavad veenmisvõtteid, nagu ajasurve ja kellegi teisena esinemine, et meelitada ohvrit oma nõudeid täitma. Parimad näited on Phishing meilid, tekstid (aka naeratamine) ja telefonikõned (teise nimega vishing), kuid seda kasutatakse ka ärimeili kompromissi (BEC) rünnakud ja muud pettused.

Küberkuritegevuse majandus: Tänapäeval on neil ohus osalejatel keeruline ja keerukas maa-alune tumedate veebisaitide võrgustik, mille kaudu pääseda osta ja müüa andmeid ja teenuseid – kõike alates kuulikindlast hostimisest kuni lunavara teenusena. See on väidetavalt väärt triljoneid. See küberkuritegevuse tööstuse "professionaalsus" on loomulikult pannud ohus osalejad suunama oma jõupingutused sinna, kus investeeringutasuvus on kõrgeim. Paljudel juhtudel tähendab see kasutajate endi sihtimist: ettevõtete töötajaid ja tarbijaid.

Hübriid töötab: Kodutöötajad on arvatakse olevat klõpsavad tõenäolisemalt andmepüügilinkidel ja osalevad riskantses käitumises, näiteks kasutavad tööseadmeid isiklikuks tarbeks. Sellisena on uue ajastu tekkimine hübriidtöö on avanud ründajatele ukse, et sihtida ettevõttekasutajaid, kui nad on kõige haavatavamas olukorras. Rääkimata asjaolust, et koduvõrgud ja arvutid võivad olla vähem kaitstud kui nende kontoripõhised ekvivalendid.

Miks on treening oluline?

Lõppkokkuvõttes võib tõsine turvarikkumine, olenemata sellest, kas see tuleneb kolmanda osapoole rünnakust või juhuslikust andmete avaldamisest, kaasa tuua suure rahalise ja mainekahju. A hiljutine uuring näitas et 20% sellise rikkumise all kannatanud ettevõtetest läks selle tulemusel peaaegu pankrotti. Eraldi uuring väidab, et andmetega seotud rikkumiste keskmine maksumus maailmas on praegu kõrgem kui kunagi varem: üle 4.2 miljoni USA dollari.

See ei ole ainult tööandjate kuluarvestus. Paljud määrused, nagu HIPAA, PCI DSS ja Sarbanes-Oxley (SOX), nõuavad nõuetele vastavatelt organisatsioonidelt töötajate turvateadlikkuse koolitusprogrammide läbiviimist.

Kuidas panna teadlikkuse tõstmise programmid tööle

Oleme selgitanud "miks", aga kuidas on lood "kuidas"? CISO-d peaksid alustama konsulteerimisest personalimeeskondadega, kes tavaliselt juhivad ettevõtte koolitusprogramme. Nad võivad anda ad hoc nõu või rohkem koordineeritud tuge.

Kaetavate valdkondade hulgas võiks olla:

• Sotsiaalne manipuleerimine ja andmepüük/vishing/smishing
• Juhuslik avalikustamine meili teel
• Veebikaitse (turvaline otsimine ja avaliku WiFi kasutamine)
• Paroolide parimad tavad ja mitmefaktoriline autentimine
• Ohutu kaug- ja kodus töötamine
• Kuidas siseringi ähvardavaid ohte märgata

Eelkõige pidage meeles, et õppetunnid peaksid olema:

• Lõbus ja gamifitseeritud (mõelge pigem positiivsele tugevdamisele kui hirmupõhistele sõnumitele)
• Põhineb reaalse maailma simulatsiooniharjutustel
• Jookse pidevalt aastaringselt lühikeste õppetundidena (10-15 minutit)
• Kaasa arvatud kõik töötajad, sealhulgas juhid, osalise tööajaga töötajad ja töövõtjad
• Suudab genereerida tulemusi, mida saab kasutada programmide kohandamiseks vastavalt individuaalsetele vajadustele
• Kohandatud sobima erinevatele rollidele

Kui see kõik on otsustatud, on oluline leida õige koolituse pakkuja. Hea uudis on see, et võrgus on palju erinevaid hinnapakkumisi, sealhulgas tasuta tööriistu. Arvestades tänast ohumaastikku, ei ole tegevusetus valik.