Pelatihan kesadaran keamanan siber: Apa itu dan apa yang paling berhasil?

Ada pepatah lama dalam keamanan siber bahwa manusia adalah mata rantai terlemah dalam rantai keamanan. Itu semakin benar, karena aktor ancaman bersaing untuk mengeksploitasi karyawan yang mudah percaya atau ceroboh. Tapi itu juga memungkinkan untuk mengubah tautan lemah itu menjadi garis pertahanan pertama yang tangguh. Kuncinya adalah menggelar yang efektif program pelatihan kesadaran keamanan.

Penelitian mengungkapkan bahwa 82% pelanggaran data yang dianalisis pada tahun 2021 melibatkan “elemen manusia”. Ini adalah fakta ancaman dunia maya modern yang tak terhindarkan bahwa karyawan merupakan target utama serangan. Tetapi beri mereka pengetahuan yang diperlukan untuk menemukan tanda-tanda peringatan serangan, dan untuk memahami kapan mereka dapat membahayakan data sensitif, dan ada peluang besar untuk memajukan upaya mitigasi risiko.

Apa itu pelatihan kesadaran keamanan?

Pelatihan kesadaran mungkin bukan sebutan terbaik untuk apa yang ingin dicapai oleh pemimpin TI dan keamanan dalam program mereka. Pada kenyataannya, tujuannya adalah untuk mengubah perilaku melalui pendidikan yang lebih baik tentang di mana letak risiko dunia maya utama dan praktik terbaik sederhana apa yang dapat dipelajari untuk memitigasinya. Ini adalah proses formal yang idealnya mencakup berbagai bidang topik dan teknik untuk memberdayakan karyawan agar membuat keputusan yang tepat. Dengan demikian, dapat dilihat sebagai pilar dasar bagi organisasi yang ingin menciptakan keamanan berdasarkan desain budaya perusahaan.

Mengapa pelatihan kesadaran keamanan diperlukan?

Seperti program pelatihan apa pun, idenya adalah untuk meningkatkan keterampilan individu agar menjadi karyawan yang lebih baik. Pada kasus ini, meningkatkan kesadaran keamanan mereka tidak hanya akan memberikan manfaat yang baik kepada individu saat mereka menjalani berbagai peran, tetapi juga akan mengurangi risiko potensi pelanggaran keamanan yang merusak.

Kenyataannya adalah bahwa pengguna korporat berada di jantung organisasi mana pun. Jika data tersebut dapat diretas, maka organisasi juga dapat diretas. Demikian pula, akses yang mereka miliki terhadap data sensitif dan sistem TI meningkatkan risiko terjadinya kecelakaan yang juga dapat berdampak negatif pada perusahaan.

Beberapa tren menyoroti kebutuhan mendesak untuk program pelatihan kesadaran keamanan:

Kata sandi: Kredensial statis telah ada selama sistem komputer. Dan terlepas dari permohonan para ahli keamanan selama bertahun-tahun, mereka tetap menjadi metode otentikasi pengguna yang paling populer. Alasannya sederhana: orang secara naluriah tahu cara menggunakannya. Tantangannya adalah bahwa mereka juga a target besar bagi para peretas. Kelola untuk mengelabui karyawan agar menyerahkannya, atau bahkan menebaknya, dan seringkali tidak ada hal lain yang menghalangi akses jaringan penuh.

Lebih dari setengah karyawan Amerika telah menulis kata sandi di atas pena dan kertas, menurut satu perkiraan. Praktik kata sandi yang buruk membuka pintu bagi para peretas. Dan seiring bertambahnya jumlah kredensial yang perlu diingat oleh karyawan, demikian pula kemungkinan penyalahgunaan.

Rekayasa sosial: Manusia adalah makhluk sosial. Itu membuat kita rentan terhadap persuasi. Kami ingin mempercayai cerita yang kami ceritakan dan orang yang menceritakannya. Ini adalah mengapa rekayasa sosial bekerja: penggunaan teknik persuasif oleh pelaku ancaman seperti tekanan waktu dan peniruan identitas untuk mengelabui korban agar melakukan perintahnya. Contoh terbaiknya adalah Phishing email, SMS (alias tersenyum), dan panggilan telepon (alias mencari), tetapi juga digunakan di serangan kompromi email bisnis (BEC). dan penipuan lainnya.

Ekonomi kejahatan dunia maya: Saat ini, pelaku ancaman ini memiliki jaringan situs web gelap bawah tanah yang kompleks dan canggih membeli dan menjual data dan layanan – mulai dari hosting antipeluru hingga ransomware-as-a-service. Dia dikatakan bernilai triliunan. “Profesionalisasi” industri kejahatan dunia maya ini secara alami mengarahkan pelaku ancaman untuk memfokuskan upaya mereka di tempat pengembalian investasi tertinggi. Dalam banyak kasus, itu berarti menargetkan pengguna itu sendiri: karyawan perusahaan dan konsumen.

Kerja hibrida: Pekerja rumahan adalah dianggap lebih cenderung mengeklik tautan phishing dan terlibat dalam perilaku berisiko seperti menggunakan perangkat kerja untuk penggunaan pribadi. Dengan demikian, munculnya era baru kerja hybrid telah membuka pintu bagi penyerang untuk menargetkan pengguna korporat saat mereka berada dalam kondisi paling rentan. Belum lagi fakta bahwa jaringan rumah dan komputer mungkin kurang terlindungi dibandingkan jaringan berbasis kantor yang setara.

Mengapa pelatihan itu penting?

Pada akhirnya, pelanggaran keamanan yang serius, baik akibat serangan pihak ketiga atau pengungkapan data yang tidak disengaja, dapat mengakibatkan kerusakan keuangan dan reputasi yang besar. SEBUAH studi terbaru mengungkapkan bahwa 20% bisnis yang mengalami pelanggaran semacam itu hampir bangkrut sebagai akibatnya. Penelitian terpisah mengklaim biaya rata-rata pelanggaran data secara global sekarang lebih tinggi dari sebelumnya: lebih dari US$4.2 juta.

Ini bukan hanya perhitungan biaya bagi pemberi kerja. Banyak peraturan seperti HIPAA, PCI DSS, dan Sarbanes-Oxley (SOX) mengharuskan organisasi yang mematuhinya untuk menjalankan program pelatihan kesadaran keamanan karyawan.

Bagaimana membuat program kesadaran bekerja

Kami telah menjelaskan “mengapa”, tapi bagaimana dengan “bagaimana”? CISO harus memulai dengan berkonsultasi dengan tim SDM, yang biasanya memimpin program pelatihan perusahaan. Mereka mungkin dapat memberikan saran ad hoc atau dukungan yang lebih terkoordinasi.

Di antara area yang dapat dicakup adalah:

• Rekayasa sosial dan phishing/vishing/smishing
• Pengungkapan yang tidak disengaja melalui email
• Perlindungan web (pencarian aman dan penggunaan Wi-Fi publik)
• Praktik terbaik kata sandi dan autentikasi multifaktor
• Aman jarak jauh dan bekerja di rumah
• Bagaimana mengenali ancaman orang dalam

Yang terpenting, ingatlah bahwa pelajaran harus:

• Menyenangkan dan digamifikasi (pikirkan penguatan positif daripada pesan berbasis rasa takut)
• Berdasarkan latihan simulasi dunia nyata
• Jalankan terus menerus sepanjang tahun dalam pelajaran singkat (10-15 menit)
• Termasuk setiap anggota staf termasuk eksekutif, pekerja paruh waktu dan kontraktor
• Mampu menghasilkan hasil yang dapat digunakan untuk menyesuaikan program agar sesuai dengan kebutuhan individu
• Disesuaikan agar sesuai dengan peran yang berbeda

Setelah semua ini diputuskan, penting untuk menemukan penyedia pelatihan yang tepat. Kabar baiknya adalah ada banyak pilihan online di kisaran harga, termasuk alat gratis. Mengingat lanskap ancaman saat ini, kelambanan bukanlah suatu pilihan.