אימון למודעות לאבטחת סייבר: מה זה ומה עובד הכי טוב?

חותמת זמן: 7 ביוני 2022 5:30
צומת המקור: 1589218

תן לעובדים את הידע הדרוש כדי לזהות את סימני האזהרה של מתקפת סייבר ולהבין מתי הם עלולים לסכן נתונים רגישים

יש פתגם ישן באבטחת סייבר שבני אדם הם החוליה החלשה ביותר בשרשרת האבטחה. זה נכון יותר ויותר, שכן שחקני איומים מתחרים על ניצול עובדים מאמין או רשלני. אבל אפשר גם להפוך את החוליה החלשה הזו לקו הגנה ראשון אדיר. המפתח הוא הפעלת אפקטיבי תכנית הכשרה בנושא מודעות לביטחון.

מחקר מגלה ש-82% מפרצות הנתונים שנותחו ב-2021 כללו "אלמנט אנושי". זוהי עובדה בלתי נמנעת של איומי סייבר מודרניים שעובדים מייצגים יעד עליון להתקפה. אבל תן להם את הידע הדרוש כדי לזהות את סימני האזהרה של התקפה, ולהבין מתי הם עלולים לסכן נתונים רגישים, ויש הזדמנות ענקית לקדם מאמצי הפחתת סיכונים.

מהו אימון למודעות אבטחה?

הכשרה למודעות היא אולי לא הכינוי הטוב ביותר למה שמנהיגי IT ואבטחה רוצים להשיג בתוכניות שלהם. במציאות, המטרה היא לשנות התנהגויות באמצעות חינוך משופר לגבי היכן טמונים סיכוני הסייבר העיקריים ואיזה שיטות מומלצות פשוטות ניתן ללמוד כדי לצמצם אותם. זהו תהליך רשמי שאמור לכסות באופן אידיאלי מגוון של תחומי נושא וטכניקות כדי להעצים את העובדים לקבל את ההחלטות הנכונות. ככזה, ניתן לראות בו נדבך יסוד עבור ארגונים המעוניינים ליצור א אבטחה לפי עיצוב תרבות ארגונית.

מדוע הכרח הכשרה למודעות אבטחה?

כמו כל סוג של תוכנית הכשרה, הרעיון הוא לשפר את הכישורים של הפרט כדי להפוך אותו לעובד טוב יותר. במקרה הזה, שיפור מודעות האבטחה שלהם לא רק יעמוד בטובו של הפרט כשהוא מנווט בתפקידים שונים, אלא זה יקטין את הסיכון של פוטנציאל פגיעה באבטחה.

האמת היא שמשתמשים ארגוניים יושבים בלב הפועם של כל ארגון. אם ניתן לפרוץ אותם, אז גם הארגון יכול. באופן דומה, הגישה שיש להם לנתונים רגישים ולמערכות IT מעלה את הסיכון לקרות תאונות שעלולות להשפיע לרעה על החברה.

מספר מגמות מדגישות את הצורך הדחוף בתוכניות אימון למודעות אבטחה:

סיסמאות: אישורים סטטיים קיימים זמן רב כמו מערכות מחשב. ולמרות הפצרותיהם של מומחי אבטחה לאורך השנים, הם נותרו השיטה הפופולרית ביותר לאימות משתמשים. הסיבה פשוטה: אנשים יודעים באופן אינסטינקטיבי כיצד להשתמש בהם. האתגר הוא שהם גם א יעד ענק להאקרים. מצליחים להערים על עובד למסור אותם, או אפילו לנחש אותם, ולעתים קרובות אין שום דבר אחר שעומד בפני גישה מלאה לרשת.

יותר ממחצית מהעובדים האמריקאים רשמו סיסמאות על עט ונייר, לפי הערכה אחת. נוהלי סיסמאות לקויים לפתוח את הדלת להאקרים. וככל שמספר האישורים שהעובדים צריכים לזכור גדל, כך גדלה הסבירות לשימוש לרעה.

הנדסה חברתית: בני אדם הם יצורים חברותיים. זה הופך אותנו לרגישים לשכנוע. אנחנו רוצים להאמין לסיפורים שמספרים לנו ולאדם שמספר אותם. זה למה הנדסה חברתית עובדת: השימוש של גורמי איומים בטכניקות שכנוע כגון לחץ זמן והתחזות כדי להערים על הקורבן לבצע את רצונם. הדוגמאות הטובות ביותר הן דיוג מיילים, טקסטים (aka מחייך), ושיחות טלפון (aka מאחל), אבל הוא משמש גם ב התקפות דואר אלקטרוני עסקיות (BEC). והונאות אחרות.

כלכלת פשע הסייבר: כיום לשחקני האיום הללו יש רשת תת-קרקעית מורכבת ומתוחכמת של אתרי אינטרנט אפלים שבאמצעותם ניתן לעשות זאת לקנות ולמכור נתונים ושירותים - הכל מאירוח חסין כדורים ועד תוכנת כופר כשירות. שֶׁלָה אמרו שהוא שווה טריליונים. ה"התמקצעות" זו של תעשיית פשע הסייבר הובילה באופן טבעי את גורמי האיומים למקד את מאמציהם במקום שבו ההחזר על ההשקעה הוא הגבוה ביותר. במקרים רבים, זה אומר למקד את המשתמשים עצמם: עובדי ארגונים וצרכנים.

עבודה היברידית: עובדי הבית הם חשב להיות סביר יותר ללחוץ על קישורי דיוג ולעסוק בהתנהגות מסוכנת כגון שימוש במכשירי עבודה לשימוש אישי. ככזה, הופעתו של עידן חדש של עבודה היברידית פתחה את הדלת לתוקפים להתמקד במשתמשים ארגוניים כשהם הכי פגיעים. בלי להזכיר את העובדה שרשתות ביתיות ומחשבים עשויים להיות מוגנים פחות טוב מהמקבילות שלהם במשרד.

למה הכשרה חשובה?

בסופו של דבר, פרצת אבטחה חמורה, בין אם נובעת מהתקפת צד שלישי או מחשיפת נתונים בשוגג, עלולה לגרום לנזק כספי גדול ומוניטין רב. א מחקר אחרון חשף ש-20% מהעסקים שסבלו מהפרה כזו כמעט פשטו רגל כתוצאה מכך. מחקר נפרד טוען כי העלות הממוצעת של פריצת מידע ברחבי העולם גבוהה מתמיד: למעלה מ-4.2 מיליון דולר.

זה לא רק חישוב עלויות למעסיקים. תקנות רבות כמו HIPAA, PCI DSS ו-Sarbanes-Oxley (SOX) מחייבות ארגונים מצייתים להפעיל תוכניות הכשרה למודעות לאבטחת העובדים.

איך לגרום לתוכניות למודעות לעבוד

הסברנו את ה"למה", אבל מה לגבי ה"איך"? CISOs צריכים להתחיל בהתייעצות עם צוותי משאבי אנוש, שבדרך כלל מובילים תוכניות הכשרה ארגוניות. ייתכן שהם יוכלו לספק ייעוץ אד-הוק או תמיכה מתואמת יותר.

בין האזורים שיש לכסות יכולים להיות:

  • הנדסה חברתית ופישינג/ווישינג/סמישינג
  • חשיפה בשוגג בדוא"ל
  • הגנת אינטרנט (חיפוש בטוח ושימוש ב-Wi-Fi ציבורי)
  • שיטות עבודה מומלצות לסיסמא ואימות רב-גורמי
  • שלט בטוח ועבודה ביתית
  • כיצד לזהות איומים פנימיים

מעל לכל, זכור שהשיעורים צריכים להיות:

  • כיף ו משחק (תחשוב על חיזוק חיובי ולא על מסרים מבוססי פחד)
  • מבוסס על תרגילי סימולציה בעולם האמיתי
  • ריצה ברציפות לאורך כל השנה בשיעורים קצרים (10-15 דקות)
  • כולל כל איש צוות כולל מנהלים, עובדים חלקיים וקבלנים
  • מסוגל לייצר תוצאות שניתן להשתמש בהן כדי להתאים תוכניות לצרכים האישיים
  • מותאם לתפקידים שונים

לאחר שהוחלט על כל זה, חשוב למצוא את ספק ההדרכה המתאים. החדשות הטובות הן שיש הרבה אפשרויות באינטרנט במגוון נקודות מחיר, כולל כלים בחינם. בהתחשב בנוף האיומים של היום, חוסר מעש אינו אופציה.

בול זמן:

עוד מ אנחנו חיים אבטחה