Fornisci ai dipendenti le conoscenze necessarie per individuare i segnali di allarme di un attacco informatico e per capire quando potrebbero mettere a rischio i dati sensibili
C'è un vecchio adagio nella sicurezza informatica secondo cui gli esseri umani sono l'anello più debole nella catena della sicurezza. Questo è sempre più vero, poiché gli attori delle minacce competono per sfruttare i dipendenti creduloni o negligenti. Ma è anche possibile trasformare quell'anello debole in una formidabile prima linea di difesa. La chiave è lanciare un efficace programma di formazione sulla consapevolezza della sicurezza.
La ricerca rivela che l'82% delle violazioni dei dati analizzate nel 2021 riguardava un "elemento umano". È un fatto inevitabile delle moderne minacce informatiche che i dipendenti rappresentino un obiettivo principale per gli attacchi. Ma fornisci loro le conoscenze necessarie per individuare i segnali di allarme di un attacco e per capire quando potrebbero mettere a rischio i dati sensibili, e c'è un'enorme opportunità per portare avanti gli sforzi di mitigazione del rischio.
Che cos'è la formazione sulla sensibilizzazione alla sicurezza?
La formazione sulla consapevolezza forse non è il miglior soprannome per ciò che i leader IT e della sicurezza vogliono ottenere nei loro programmi. In realtà, l'obiettivo è cambiare i comportamenti attraverso una migliore educazione su dove si trovano i principali rischi informatici e quali semplici migliori pratiche possono essere apprese per mitigarli. È un processo formalizzato che dovrebbe idealmente coprire una serie di aree tematiche e tecniche per consentire ai dipendenti di prendere le decisioni giuste. In quanto tale, può essere visto come un pilastro fondamentale per le organizzazioni che desiderano creare un sicurezza fin dalla progettazione cultura aziendale.
Perché è necessaria una formazione sulla sensibilizzazione alla sicurezza?
Come ogni tipo di programma di formazione, l'idea è quella di migliorare le capacità dell'individuo per renderlo un dipendente migliore. In questo caso, migliorare la loro consapevolezza della sicurezza non solo sosterrà l'individuo in buona posizione mentre naviga in vari ruoli, ma ridurrà il rischio di un potenziale dannosa violazione della sicurezza.
La verità è che gli utenti aziendali sono il cuore pulsante di qualsiasi organizzazione. Se possono essere hackerati, lo può fare anche l’organizzazione. Allo stesso modo, l’accesso a dati sensibili e sistemi IT aumenta il rischio che si verifichino incidenti che potrebbero avere un impatto negativo anche sull’azienda.
Diverse tendenze evidenziano l'urgente necessità di programmi di formazione sulla sensibilizzazione alla sicurezza:
Le password: Le credenziali statiche esistono da tanto tempo quanto i sistemi informatici. E nonostante le suppliche degli esperti di sicurezza nel corso degli anni, rimangono il metodo più popolare di autenticazione degli utenti. Il motivo è semplice: le persone sanno istintivamente come usarli. La sfida è che sono anche a enorme bersaglio per gli hacker. Riesci a indurre un dipendente a consegnarli, o addirittura a indovinarli, e spesso non c'è nient'altro che ostacoli l'accesso completo alla rete.
Oltre la metà dei dipendenti americani ha scritto le password su carta e penna, secondo una stima. Pratiche di password scadenti aprire la porta agli hacker. E con l'aumento del numero di credenziali che i dipendenti devono ricordare, aumenta anche la probabilità di un uso improprio.
Ingegneria sociale: Gli esseri umani sono creature socievoli. Questo ci rende suscettibili alla persuasione. Vogliamo credere alle storie che ci vengono raccontate e alla persona che le racconta. Questo è perché l'ingegneria sociale funziona: l'uso da parte degli autori delle minacce di tecniche persuasive come la pressione temporale e l'imitazione per indurre la vittima a eseguire i suoi ordini. I migliori esempi sono phishing e-mail, SMS (aka SMiShing) e telefonate (aka Vishing), ma è anche usato in attacchi BEC (Business Email Compromise). e altre truffe.
L'economia del crimine informatico: Oggi questi attori delle minacce dispongono di una rete sotterranea complessa e sofisticata di siti Web oscuri attraverso la quale acquistare e vendere dati e servizi – tutto, dall'hosting antiproiettile al ransomware-as-a-service. È detto di valere trilioni. Questa "professionalizzazione" del settore della criminalità informatica ha naturalmente portato gli attori delle minacce a concentrare i propri sforzi dove il ritorno sull'investimento è più alto. In molti casi, ciò significa prendere di mira gli utenti stessi: dipendenti aziendali e consumatori.
Lavoro ibrido: I lavoratori domestici lo sono pensato di essere è più probabile che facciano clic su collegamenti di phishing e intraprendano comportamenti rischiosi come l'utilizzo di dispositivi di lavoro per uso personale. In quanto tale, l'emergere di una nuova era di lavoro ibrido ha aperto le porte agli aggressori per prendere di mira gli utenti aziendali quando sono più vulnerabili. Per non parlare del fatto che le reti domestiche ei computer potrebbero essere meno protetti rispetto ai loro equivalenti da ufficio.
Perché la formazione è importante?
In definitiva, una grave violazione della sicurezza, derivante da un attacco di terze parti o da una divulgazione accidentale di dati, potrebbe causare gravi danni finanziari e reputazionali. UN ha rivelato uno studio recente che il 20% delle aziende che hanno subito una tale violazione è quasi fallito di conseguenza. Ricerca separata afferma che il costo medio di una violazione dei dati a livello globale è ora più alto che mai: oltre 4.2 milioni di dollari.
Non è solo un calcolo dei costi per i datori di lavoro. Molte normative come HIPAA, PCI DSS e Sarbanes-Oxley (SOX) richiedono alle organizzazioni conformi di eseguire programmi di formazione sulla sensibilizzazione alla sicurezza dei dipendenti.
Come far funzionare i programmi di sensibilizzazione
Abbiamo spiegato il "perché", ma per quanto riguarda il "come"? I CISO dovrebbero iniziare consultandosi con i team delle risorse umane, che normalmente conducono programmi di formazione aziendale. Potrebbero essere in grado di fornire una consulenza ad hoc o un supporto più coordinato.
Tra le aree da coprire potrebbero esserci:
- Ingegneria sociale e phishing/vishing/smishing
- Divulgazione accidentale via e-mail
- Protezione web (ricerca sicura e utilizzo del Wi-Fi pubblico)
- Procedure consigliate per le password e autenticazione a più fattori
- Sicuro lavoro da remoto e da casa
- Come individuare le minacce interne
Soprattutto, tieni presente che le lezioni dovrebbero essere:
- Divertimento e gamificato (pensa al rinforzo positivo piuttosto che ai messaggi basati sulla paura)
- Basato su esercizi di simulazione del mondo reale
- Esegui continuamente durante tutto l'anno in lezioni brevi (10-15 minuti)
- Compreso di ogni membro del personale compresi dirigenti, part-time e appaltatori
- In grado di generare risultati che possono essere utilizzati per adattare i programmi alle esigenze individuali
- Su misura per adattarsi a diversi ruoli
Una volta deciso tutto questo, è importante trovare il giusto fornitore di formazione. La buona notizia è che ci sono molte opzioni online in una gamma di fasce di prezzo, inclusi strumenti gratuiti. Dato il panorama odierno delle minacce, l'inazione non è un'opzione.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- Viviamo la sicurezza
- sicurezza del sito Web
- zefiro
