साइबर सुरक्षा जागरूकता प्रशिक्षण: यह क्या है और क्या सबसे अच्छा काम करता है?

समय टिकट: 7 जून, 2022 5:30 बजे
स्रोत नोड: 1589218

कर्मचारियों को साइबर हमले के चेतावनी संकेतों को पहचानने और यह समझने के लिए आवश्यक ज्ञान दें कि वे संवेदनशील डेटा को कब जोखिम में डाल सकते हैं

साइबर सुरक्षा में एक पुरानी कहावत है कि मनुष्य सुरक्षा श्रृंखला की सबसे कमजोर कड़ी है। यह सच होता जा रहा है, क्योंकि धमकी देने वाले अभिनेता विश्वसनीय या लापरवाह कर्मचारियों का शोषण करने के लिए प्रतिस्पर्धा करते हैं। लेकिन उस कमज़ोर कड़ी को रक्षा की दुर्जेय पहली पंक्ति में बदलना भी संभव है। कुंजी एक प्रभावी ढंग से कार्यान्वित करना है सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम.

रिसर्च से हुआ खुलासा 82 में विश्लेषण किए गए 2021% डेटा उल्लंघनों में "मानवीय तत्व" शामिल था। यह आधुनिक साइबर खतरों का एक अपरिहार्य तथ्य है कि कर्मचारी हमले के लिए शीर्ष लक्ष्य का प्रतिनिधित्व करते हैं। लेकिन उन्हें किसी हमले के चेतावनी संकेतों को पहचानने और यह समझने के लिए आवश्यक ज्ञान दें कि वे कब संवेदनशील डेटा को जोखिम में डाल सकते हैं, और जोखिम शमन प्रयासों को आगे बढ़ाने का एक बड़ा अवसर है।

सुरक्षा जागरूकता प्रशिक्षण क्या है?

आईटी और सुरक्षा नेता अपने कार्यक्रमों में क्या हासिल करना चाहते हैं, इसके लिए जागरूकता प्रशिक्षण शायद सबसे अच्छा उपनाम नहीं है। वास्तव में, लक्ष्य बेहतर शिक्षा के माध्यम से व्यवहार में बदलाव लाना है कि प्रमुख साइबर जोखिम कहाँ हैं और उन्हें कम करने के लिए कौन सी सरल सर्वोत्तम प्रथाएँ सीखी जा सकती हैं। यह एक औपचारिक प्रक्रिया है जिसमें आदर्श रूप से कर्मचारियों को सही निर्णय लेने के लिए सशक्त बनाने के लिए कई विषय क्षेत्रों और तकनीकों को शामिल किया जाना चाहिए। इस प्रकार, इसे बनाने के इच्छुक संगठनों के लिए एक मूलभूत स्तंभ के रूप में देखा जा सकता है सुरक्षा-दर-डिज़ाइन कॉर्पोरेट संस्कृति।

सुरक्षा जागरूकता प्रशिक्षण क्यों आवश्यक है?

किसी भी प्रकार के प्रशिक्षण कार्यक्रम की तरह, इसका विचार व्यक्ति के कौशल को बढ़ाकर उन्हें एक बेहतर कर्मचारी बनाना है। इस मामले में, उनकी सुरक्षा जागरूकता में सुधार यह न केवल व्यक्ति को विभिन्न भूमिकाओं को निभाने में अच्छी स्थिति में खड़ा करेगा, बल्कि संभावित जोखिम को भी कम करेगा हानिकारक सुरक्षा उल्लंघन.

सच तो यह है कि कॉर्पोरेट उपयोगकर्ता किसी भी संगठन के हृदय की धड़कन होते हैं। यदि उन्हें हैक किया जा सकता है, तो संगठन को भी हैक किया जा सकता है। इसी तरह, संवेदनशील डेटा और आईटी सिस्टम तक उनकी पहुंच से दुर्घटनाओं का खतरा बढ़ जाता है जो कंपनी पर भी नकारात्मक प्रभाव डाल सकता है।

कई रुझान सुरक्षा जागरूकता प्रशिक्षण कार्यक्रमों की तत्काल आवश्यकता पर प्रकाश डालते हैं:

पासवर्ड: स्टेटिक क्रेडेंशियल्स कंप्यूटर सिस्टम की तरह लंबे समय से मौजूद हैं। और वर्षों से सुरक्षा विशेषज्ञों की अपील के बावजूद, वे उपयोगकर्ता प्रमाणीकरण का सबसे लोकप्रिय तरीका बने हुए हैं। कारण सरल है: लोग सहज रूप से जानते हैं कि उनका उपयोग कैसे करना है। चुनौती यह है कि वे भी एक हैं हैकर्स के लिए बड़ा टारगेट. किसी कर्मचारी को धोखा देकर उन्हें सौंपने का प्रबंधन करें, या यहां तक ​​​​कि उनका अनुमान भी लगाएं, और अक्सर पूर्ण नेटवर्क पहुंच के रास्ते में और कुछ नहीं होता है।

आधे से अधिक अमेरिकी कर्मचारियों ने पेन और कागज पर पासवर्ड लिखे हैं एक अनुमान. ख़राब पासवर्ड प्रथाएँ हैकर्स के लिए दरवाजा खोलें. और जैसे-जैसे कर्मचारियों को याद रखने योग्य क्रेडेंशियल्स की संख्या बढ़ती है, वैसे-वैसे दुरुपयोग की संभावना भी बढ़ती है।

सोशल इंजीनियरिंग: मनुष्य मिलनसार प्राणी है। यह हमें अनुनय के प्रति संवेदनशील बनाता है। हम उन कहानियों पर विश्वास करना चाहते हैं जो हमें बताई गई हैं और जो व्यक्ति उन्हें सुना रहा है। यह है सोशल इंजीनियरिंग क्यों काम करती है: धमकी देने वाले अभिनेताओं द्वारा पीड़ित को अपनी बात मनवाने के लिए समय के दबाव और प्रतिरूपण जैसी प्रेरक तकनीकों का उपयोग। सबसे अच्छे उदाहरण हैं फ़िशिंग ईमेल, टेक्स्ट (उर्फ smishing), और फ़ोन कॉल (उर्फ विशिंग), लेकिन इसका उपयोग इसमें भी किया जाता है व्यापार ईमेल समझौता (बीईसी) हमले और अन्य घोटाले।

साइबर अपराध अर्थव्यवस्था: आज इन ख़तरनाक अभिनेताओं के पास डार्क वेब साइटों का एक जटिल और परिष्कृत भूमिगत नेटवर्क है जिसके माध्यम से वे ऐसा कर सकते हैं डेटा और सेवाएँ खरीदें और बेचें - बुलेटप्रूफ़ होस्टिंग से लेकर रैनसमवेयर-ए-सर्विस तक सब कुछ। इसका कहा जाता है कि इसकी कीमत खरबों में है. साइबर अपराध उद्योग के इस "व्यावसायीकरण" ने स्वाभाविक रूप से खतरे वाले अभिनेताओं को अपने प्रयासों पर ध्यान केंद्रित करने के लिए प्रेरित किया है जहां निवेश पर रिटर्न सबसे अधिक है। कई मामलों में, इसका मतलब स्वयं उपयोगकर्ताओं को लक्षित करना है: कॉर्पोरेट कर्मचारी और उपभोक्ता।

हाइब्रिड कार्य: घरेलू कामगार हैं माना फ़िशिंग लिंक पर क्लिक करने और व्यक्तिगत उपयोग के लिए कार्य उपकरणों का उपयोग करने जैसे जोखिम भरे व्यवहार में संलग्न होने की अधिक संभावना है। इस प्रकार, एक नये युग का उदय हुआ हाइब्रिड वर्किंग इसने हमलावरों के लिए कॉर्पोरेट उपयोगकर्ताओं को लक्षित करने का द्वार खोल दिया है जब वे सबसे असुरक्षित स्थिति में होते हैं। इसका मतलब यह नहीं है कि घरेलू नेटवर्क और कंप्यूटर अपने कार्यालय-आधारित समकक्षों की तुलना में कम सुरक्षित हो सकते हैं।

प्रशिक्षण क्यों मायने रखता है?

अंततः, एक गंभीर सुरक्षा उल्लंघन, चाहे वह तीसरे पक्ष के हमले के परिणामस्वरूप हो या आकस्मिक डेटा प्रकटीकरण के परिणामस्वरूप, बड़ी वित्तीय और प्रतिष्ठित क्षति हो सकती है। ए हाल के अध्ययन से पता चला है इस तरह के उल्लंघन का सामना करने वाले 20% व्यवसाय परिणामस्वरूप लगभग दिवालिया हो गए। अलग शोध दावा है कि वैश्विक स्तर पर डेटा उल्लंघन की औसत लागत अब पहले से कहीं अधिक है: US$4.2m से अधिक।

यह नियोक्ताओं के लिए केवल लागत गणना नहीं है। HIPAA, PCI DSS, और Sarbanes-Oxley (SOX) जैसे कई नियमों के लिए कर्मचारी सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम चलाने के लिए अनुपालन करने वाले संगठनों की आवश्यकता होती है।

जागरूकता कार्यक्रमों को कैसे कार्यान्वित किया जाए

हमने "क्यों" की व्याख्या की है, लेकिन "कैसे" के बारे में क्या? सीआईएसओ को एचआर टीमों के साथ परामर्श करके शुरुआत करनी चाहिए, जो आम तौर पर कॉर्पोरेट प्रशिक्षण कार्यक्रमों का नेतृत्व करती हैं। वे तदर्थ सलाह या अधिक समन्वित समर्थन प्रदान करने में सक्षम हो सकते हैं।

कवर किए जाने वाले क्षेत्रों में ये हो सकते हैं:

  • सोशल इंजीनियरिंग और फ़िशिंग/विशिंग/स्मिशिंग
  • ईमेल के माध्यम से आकस्मिक प्रकटीकरण
  • वेब सुरक्षा (सार्वजनिक वाई-फाई की सुरक्षित खोज और उपयोग)
  • पासवर्ड सर्वोत्तम अभ्यास और बहु-कारक प्रमाणीकरण
  • सुरक्षित रिमोट और घर से काम करना
  • अंदरूनी खतरों का पता कैसे लगाएं

सबसे ऊपर, ध्यान रखें कि पाठ ये होने चाहिए:

  • मज़ा और गेमिफाईड (भय आधारित संदेशों के बजाय सकारात्मक सुदृढीकरण के बारे में सोचें)
  • वास्तविक दुनिया के अनुकरण अभ्यासों पर आधारित
  • छोटे पाठों में पूरे वर्ष लगातार दौड़ें (10-15 मिनट)
  • इसमें अधिकारियों, अंशकालिकों और ठेकेदारों सहित प्रत्येक स्टाफ सदस्य शामिल है
  • परिणाम उत्पन्न करने में सक्षम जिसका उपयोग व्यक्तिगत आवश्यकताओं के अनुरूप कार्यक्रमों को समायोजित करने के लिए किया जा सकता है
  • विभिन्न भूमिकाओं के अनुरूप तैयार किया गया

एक बार यह सब तय हो जाने के बाद, सही प्रशिक्षण प्रदाता ढूंढना महत्वपूर्ण है। अच्छी खबर यह है कि मुफ़्त टूल सहित विभिन्न मूल्य बिंदुओं पर ऑनलाइन बहुत सारे विकल्प मौजूद हैं। आज के ख़तरे भरे परिदृश्य को देखते हुए, निष्क्रियता कोई विकल्प नहीं है।

समय टिकट:

से अधिक हम सुरक्षा जीते हैं