Adja meg az alkalmazottaknak azokat a tudást, amelyek ahhoz szükségesek, hogy észrevegyék a kibertámadások figyelmeztető jeleit, és megértsék, mikor tehetnek veszélybe érzékeny adatokat
Van egy régi közmondás a kiberbiztonság terén, miszerint az ember a leggyengébb láncszem a biztonsági láncban. Ez egyre inkább igaz, mivel a fenyegetés szereplői versenyeznek a hiszékeny vagy gondatlan alkalmazottak kizsákmányolásáért. De az is lehetséges, hogy ezt a gyenge láncszemet egy félelmetes első védelmi vonallá alakítsuk. A kulcs egy hatékony kiterjesztés biztonsági tudatosság képzési program.
A kutatásokból kiderül hogy a 82-ben elemzett adatvédelmi incidensek 2021%-a „emberi elemet” tartalmazott. A modern kiberfenyegetések elkerülhetetlen ténye, hogy az alkalmazottak a támadások legfőbb célpontja. De adja meg nekik a szükséges ismereteket a támadások figyelmeztető jeleinek észleléséhez, és annak megértéséhez, hogy mikor tehetnek veszélybe érzékeny adatokat, és óriási lehetőség nyílik a kockázatcsökkentési erőfeszítések előmozdítására.
Mi az a biztonságtudatos képzés?
A figyelemfelkeltő tréning talán nem a legjobb beceneve annak, amit az informatikai és biztonsági vezetők el akarnak érni programjaikkal. Valójában a cél a viselkedés megváltoztatása a kulcsfontosságú kiberkockázatok helyéről és azok mérséklése érdekében elsajátítható egyszerű bevált módszerekről szóló jobb oktatás révén. Ez egy formalizált folyamat, amelynek ideális esetben számos tématerületet és technikát kell lefednie, hogy képessé tegye az alkalmazottakat a megfelelő döntések meghozatalára. Mint ilyen, alappillérnek tekinthető azon szervezetek számára, amelyek a security-by-design vállalati kultúra.
Miért van szükség a biztonságtudatos képzésre?
Mint minden képzési programnak, az ötlet az egyén készségeinek fejlesztése, hogy jobb alkalmazottakká váljanak. Ebben az esetben, biztonsági tudatosságuk fejlesztése nemcsak jót tesz az egyénnek, amikor különböző szerepekben navigál, de csökkenti a potenciálisan kárt okozó biztonsági megsértés.
Az igazság az, hogy a vállalati felhasználók minden szervezet szívében állnak. Ha feltörhetők, akkor a szervezetet is. Hasonló módon az érzékeny adatokhoz és informatikai rendszerekhez való hozzáférésük növeli a balesetek bekövetkezésének kockázatát, amelyek szintén negatívan érinthetik a vállalatot.
Számos tendencia rávilágít a biztonságtudatos képzési programok sürgős szükségességére:
jelszavak: A statikus hitelesítő adatok olyan régóta léteznek, mint a számítógépes rendszerek. És a biztonsági szakértők évek óta tartó könyörgése ellenére továbbra is ezek a felhasználók hitelesítésének legnépszerűbb módszerei. Az ok egyszerű: az emberek ösztönösen tudják, hogyan kell használni őket. A kihívás az, hogy ők is a hatalmas célpont a hackerek számára. Sikerül becsapni egy alkalmazottat, hogy átadja őket, vagy akár kitalálhatja őket, és gyakran semmi más nem áll a teljes hálózati hozzáférés útjában.
Az amerikai alkalmazottak több mint fele felírta a jelszavakat tollra és papírra egy becslés. Rossz jelszó gyakorlat nyissa ki az ajtót a hackerek előtt. És ahogy növekszik azoknak a bizonyítványoknak a száma, amelyekre az alkalmazottaknak emlékezniük kell, úgy nő a visszaélések valószínűsége is.
Szociális tervezés: Az emberi lények társaságkedvelő lények. Ez hajlamossá tesz minket a meggyőzésre. Hinni akarunk a történeteknek, amelyeket elmesélünk, és annak, aki elmondja őket. Ez miért működik a social engineering: a fenyegetés szereplői olyan meggyőzési technikák alkalmazása, mint az időnyomás és a megszemélyesítés, hogy rávegyék az áldozatot arra, hogy teljesítse az akaratát. A legjobb példák az Adathalászat e-mailek, SMS-ek (más néven elmosolyodva), és telefonhívások (más néven vishing), de azt is használják üzleti e-mail kompromittációs (BEC) támadások és egyéb csalások.
A kiberbűnözés gazdasága: Ma ezek a fenyegető szereplők sötét webhelyek bonyolult és kifinomult földalatti hálózatával rendelkeznek, amelyen keresztül adatok és szolgáltatások vásárlása és eladása – a golyóálló hostingtól a zsarolóvírus-szolgáltatásig minden. ez van állítólag billiódókat ér. A kiberbűnözés iparágának ez a „professzionalizálása” természetesen arra késztette a fenyegetés szereplőit, hogy oda összpontosítsák erőfeszítéseiket, ahol a legmagasabb a befektetés megtérülése. Ez sok esetben azt jelenti, hogy magukat a felhasználókat kell megcélozni: a vállalati alkalmazottakat és a fogyasztókat.
Hibrid működés: Otthoni dolgozók azok úgy hírlik nagyobb valószínűséggel kattintanak az adathalász linkekre, és kockázatos magatartást tanúsítanak, például munkahelyi eszközöket használnak személyes használatra. Mint ilyen, egy új korszak megjelenése hibrid munka megnyitotta a kaput a támadók előtt, hogy megtámadják a vállalati felhasználókat, amikor azok a legsebezhetőbbek. Arról nem is beszélve, hogy az otthoni hálózatok és a számítógépek kevésbé védettek, mint az irodai megfelelőik.
Miért számít az edzés?
Végső soron egy súlyos biztonsági megsértés – akár harmadik fél támadásából, akár véletlen adatfelfedésből ered – jelentős anyagi és jó hírnévi károkat okozhat. A legutóbbi tanulmányból kiderült hogy az ilyen jogsértést elszenvedő vállalkozások 20%-a majdnem csődbe ment ennek következtében. Külön kutatás azt állítja, hogy az adatszivárgás átlagos költsége világszerte magasabb, mint valaha: több mint 4.2 millió USD.
Ez nem csak a munkáltatók költségszámítása. Számos szabályozás, például a HIPAA, a PCI DSS és a Sarbanes-Oxley (SOX) megköveteli a megfelelő szervezetektől, hogy az alkalmazottak biztonságtudatossági képzési programjait levezessék.
Hogyan tegyük működésre a figyelemfelkeltő programokat
Elmagyaráztuk a „miért”, de mi a helyzet a „hogyan”-val? A CISO-knak először konzultálniuk kell a HR csapatokkal, amelyek általában a vállalati képzési programokat vezetik. Ad hoc tanácsot vagy összehangoltabb támogatást tudnak nyújtani.
A lefedendő területek között lehetnek:
- Social engineering és adathalászat/vishing/smishing
- Véletlen bejelentés e-mailben
- Webvédelem (biztonságos keresés és nyilvános Wi-Fi használata)
- Jelszavas bevált gyakorlatok és többtényezős hitelesítés
- Biztonságos távoli és otthoni munkavégzés
- Hogyan lehet észrevenni a bennfentes fenyegetéseket
Mindenekelőtt ne feledje, hogy a leckéknek a következőket kell tartalmazniuk:
- Szórakozás és gamifikált (gondoljon inkább a pozitív megerősítésre, mint a félelem alapú üzenetekre)
- Valós szimulációs gyakorlatokon alapul
- Folyamatos futás egész évben rövid órákon (10-15 perc)
- Beleértve minden alkalmazottat, beleértve a vezetőket, a részmunkaidőseket és a vállalkozókat
- Képes olyan eredményeket generálni, amelyek segítségével a programokat az egyéni igényekhez igazíthatja
- Különböző szerepekhez szabva
Ha mindez eldőlt, fontos megtalálni a megfelelő képzési szolgáltatót. A jó hír az, hogy rengeteg online lehetőség áll rendelkezésre számos árkategóriában, beleértve az ingyenes eszközöket is. Tekintettel a mai fenyegetettségre, a tétlenség nem választható.
