Anna työntekijöille tiedot, joita tarvitaan kyberhyökkäyksen varoitusmerkkien havaitsemiseen ja sen ymmärtämiseen, milloin he saattavat vaarantaa arkaluonteisia tietoja
Kyberturvallisuudesta on olemassa vanha sanonta, jonka mukaan ihmiset ovat turvaketjun heikoin lenkki. Se on yhä enemmän totta, kun uhkatoimijat kilpailevat herkkäuskoisten tai huolimattomien työntekijöiden hyväksikäytöstä. Mutta on myös mahdollista muuttaa tuo heikko lenkki mahtavaksi ensimmäiseksi puolustuslinjaksi. Tärkeintä on levittää tehokas turvallisuustietoisuuden koulutusohjelma.
Tutkimus paljastaa että 82 % vuonna 2021 analysoiduista tietomurroista liittyi "inhimilliseen tekijään". Nykyaikaisten kyberuhkien väistämätön tosiasia on, että työntekijät ovat hyökkäysten pääkohde. Mutta anna heille tiedot, joita tarvitaan havaitsemaan hyökkäyksen varoitusmerkit ja ymmärtämään, milloin he saattavat vaarantaa arkaluontoisia tietoja, ja on valtava mahdollisuus edistää riskinhallintatoimia.
Mitä turvallisuustietoisuuskoulutus on?
Tietoisuuskoulutus ei ehkä ole paras nimitys sille, mitä IT- ja tietoturvajohtajat haluavat saavuttaa ohjelmissaan. Todellisuudessa tavoitteena on muuttaa käyttäytymistä parantamalla koulutusta siitä, missä tärkeimmät kyberriskit piilevät ja mitä yksinkertaisia parhaita käytäntöjä voidaan oppia niiden vähentämiseksi. Se on muodollinen prosessi, jonka pitäisi ihanteellisesti kattaa useita aihealueita ja tekniikoita, jotta työntekijät voivat tehdä oikeita päätöksiä. Sellaisenaan sitä voidaan pitää peruspilarina organisaatioille, jotka haluavat luoda a turvallisuuden suunnittelu yrityskulttuuri.
Miksi turvallisuustietoisuuskoulutusta tarvitaan?
Kuten minkä tahansa koulutusohjelman, ideana on parantaa yksilön taitoja, jotta hänestä tulee parempi työntekijä. Tässä tapauksessa, parantaa heidän turvallisuustietoisuuttaan se ei ainoastaan pidä yksilöä hyvänä hänen navigoiessaan eri rooleissa, vaan se vähentää mahdollisen vahingoittava tietoturvaloukkaus.
Totuus on, että yrityskäyttäjät istuvat minkä tahansa organisaation sykkivässä sydämessä. Jos ne voidaan hakkeroida, niin myös organisaatio voi olla. Samalla tavalla heidän pääsynsä arkaluontoisiin tietoihin ja IT-järjestelmiin lisää onnettomuusriskiä, joka voi myös vaikuttaa negatiivisesti yritykseen.
Useat trendit korostavat turvallisuustietoisuuden koulutusohjelmien kiireellistä tarvetta:
salasanat: Staattiset tunnistetiedot ovat olleet olemassa niin kauan kuin tietokonejärjestelmät. Huolimatta tietoturva-asiantuntijoiden vuosien ajan vaatimuksesta, ne ovat edelleen suosituin käyttäjien todennusmenetelmä. Syy on yksinkertainen: ihmiset osaavat vaistomaisesti käyttää niitä. Haasteena on, että he ovat myös a valtava kohde hakkereille. Onnistut huijaamaan työntekijän luovuttamaan ne tai jopa arvaamaan ne, ja usein mikään muu ei estä täydellistä verkkoon pääsyä.
Yli puolet amerikkalaisista työntekijöistä on kirjoittanut salasanat kynään ja paperille yksi arvio. Huono salasanakäytäntö avaa ovi hakkereille. Ja kun työntekijöiden muistettavien todistusten määrä kasvaa, väärinkäytön todennäköisyys kasvaa.
Sosiaalinen suunnittelu: Ihminen on seurallinen olento. Se tekee meistä alttiita suostuttelulle. Haluamme uskoa meille kerrottuja tarinoita ja niitä kertovia henkilöitä. Tämä on miksi sosiaalinen suunnittelu toimii: uhkatekijöiden käyttämä vakuuttavia tekniikoita, kuten ajan painostusta ja toisena henkilönä esiintymistä huijatakseen uhrin tekemään pyyntönsä. Parhaat esimerkit ovat Phishing sähköpostit, tekstiviestit (alias smishing) ja puhelut (alias vierailla), mutta sitä käytetään myös yrityssähköpostin kompromissihyökkäykset (BEC). ja muut huijaukset.
Kyberrikollisuuden talous: Nykyään näillä uhkatoimijoilla on monimutkainen ja hienostunut maanalainen tummien web-sivustojen verkosto, jonka kautta he voivat kulkea ostaa ja myydä tietoja ja palveluita – kaikkea luodinkestävästä isännöinnistä ransomware-as-a-palveluun. Sen sanotaan olevan biljoonien arvoisia. Tämä kyberrikollisuusalan "ammattimaisuus" on luonnollisesti johtanut uhkatoimijoiden keskittämiseen sinne, missä sijoitetun pääoman tuotto on korkein. Monissa tapauksissa tämä tarkoittaa kohdistamista käyttäjiin itseensä: yritysten työntekijöihin ja kuluttajiin.
Hybridi toimii: Kotityöntekijät ovat on luultavasti napsauttavat todennäköisemmin phishing-linkkejä ja osallistuvat riskialttiiseen käyttäytymiseen, kuten työlaitteiden käyttämiseen henkilökohtaiseen käyttöön. Sellaisenaan uuden aikakauden syntyminen hybridityö on avannut oven hyökkääjille kohdistaa kohteet yrityskäyttäjiin, kun he ovat haavoittuvimmassa asemassa. Puhumattakaan siitä, että kotiverkot ja tietokoneet voivat olla huonommin suojattuja kuin toimistopohjaiset vastaavat.
Miksi koulutuksella on väliä?
Viime kädessä vakava tietoturvaloukkaus, joko kolmannen osapuolen hyökkäyksestä tai vahingossa tapahtuvasta tietojen paljastamisesta, voi johtaa merkittäviin taloudellisiin ja maineeseen. A tuore tutkimus paljasti että 20 % tällaisen rikkomuksen kärsineistä yrityksistä melkein meni konkurssiin sen seurauksena. Erillinen tutkimus väittää, että tietomurron keskimääräiset kustannukset maailmanlaajuisesti ovat nyt korkeammat kuin koskaan: yli 4.2 miljoonaa dollaria.
Se ei ole vain työnantajien kustannuslaskelma. Monet säädökset, kuten HIPAA, PCI DSS ja Sarbanes-Oxley (SOX), edellyttävät, että organisaatiot järjestävät työntekijöiden turvallisuustietoisuuden koulutusohjelmia.
Kuinka saada tietoisuusohjelmat toimimaan
Olemme selittäneet "miksi", mutta entä "miten"? CISO:n tulisi aloittaa neuvottelemalla HR-ryhmien kanssa, jotka yleensä johtavat yritysten koulutusohjelmia. He saattavat pystyä tarjoamaan tapauskohtaista neuvontaa tai koordinoidumpaa tukea.
Katettavat alueet voisivat olla:
- Sosiaalinen manipulointi ja tietojenkalastelu/vishing/smishing
- Ilmoitus vahingossa sähköpostitse
- Verkkosuojaus (turvallinen haku ja julkisen Wi-Fin käyttö)
- Parhaat salasanakäytännöt ja monitekijätodennus
- Turvallinen etätyö ja kotityöskentely
- Kuinka havaita sisäpiirin uhat
Ennen kaikkea muista, että oppituntien tulisi olla:
- Hauskaa ja pelillistetty (ajattele positiivista vahvistusta pelkoon perustuvien viestien sijaan)
- Perustuu tosielämän simulaatioharjoituksiin
- Juokse jatkuvasti ympäri vuoden lyhyillä tunneilla (10-15 minuuttia)
- Mukaan lukien kaikki työntekijät, mukaan lukien johtajat, osa-aikaiset ja urakoitsijat
- Pystyy tuottamaan tuloksia, joiden avulla voidaan muokata ohjelmia yksilöllisten tarpeiden mukaan
- Räätälöity eri rooleihin sopivaksi
Kun tämä kaikki on päätetty, on tärkeää löytää oikea koulutuksen tarjoaja. Hyvä uutinen on, että verkossa on paljon vaihtoehtoja eri hintaluokissa, mukaan lukien ilmaiset työkalut. Ottaen huomioon tämän päivän uhkakuvan toimettomuus ei ole vaihtoehto.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- Me elämme turvallisuutta
- verkkosivuilla turvallisuus
- zephyrnet
