사이버 보안 인식 교육: 무엇이며 무엇이 가장 효과적입니까?

사이버 보안에는 인간이 보안 사슬에서 가장 약한 고리라는 오래된 격언이 있습니다. 위협 행위자가 믿을 수 없거나 부주의한 직원을 착취하기 위해 경쟁함에 따라 점점 더 사실입니다. 그러나 그 약한 고리를 강력한 XNUMX차 방어선으로 바꾸는 것도 가능합니다. 핵심은 효과적인 보안 인식 교육 프로그램.

연구 결과 82년에 분석된 데이터 침해의 2021%가 "인간적 요소"와 관련되어 있습니다. 직원들이 가장 큰 공격 대상이라는 것은 현대 사이버 위협의 피할 수 없는 사실입니다. 그러나 공격의 경고 신호를 발견하고 민감한 데이터를 위험에 빠뜨릴 수 있는 시점을 이해하는 데 필요한 지식을 제공하며 위험 완화 노력을 진전시킬 수 있는 엄청난 기회가 있습니다.

보안 인식 교육이란 무엇입니까?

인식 교육은 IT 및 보안 리더가 프로그램에서 달성하고자 하는 가장 좋은 별명이 아닐 수 있습니다. 실제로 목표는 주요 사이버 위험이 있는 위치와 이를 완화하기 위해 배울 수 있는 간단한 모범 사례에 대한 개선된 교육을 통해 행동을 바꾸는 것입니다. 직원이 올바른 결정을 내릴 수 있도록 다양한 주제 영역과 기술을 이상적으로 다루어야 하는 공식화된 프로세스입니다. 따라서 조직을 만들고자 하는 조직의 기본 기둥으로 볼 수 있습니다. 보안을 고려한 설계 기업 문화.

보안 인식 교육이 필요한 이유는 무엇입니까?

모든 종류의 교육 프로그램과 마찬가지로 아이디어는 개인의 기술을 향상시켜 더 나은 직원으로 만드는 것입니다. 이 경우, 보안 인식 개선 다양한 역할을 탐색할 때 개인을 대신할 수 있을 뿐만 아니라 잠재적 위험을 줄일 수 있습니다. 피해를 주는 보안 침해.

진실은 기업 사용자가 모든 조직의 심장부에 있다는 것입니다. 해킹당할 수 있다면 조직도 해킹될 수 있습니다. 마찬가지로, 민감한 데이터와 IT 시스템에 대한 액세스 권한은 회사에 부정적인 영향을 미칠 수도 있는 사고 발생 위험을 높입니다.

보안 인식 교육 프로그램의 시급한 필요성을 강조하는 몇 가지 추세:

암호 : 정적 자격 증명은 컴퓨터 시스템과 함께한지 오래되었습니다. 그리고 수년간 보안 전문가들의 간청에도 불구하고 여전히 가장 널리 사용되는 사용자 인증 방법입니다. 이유는 간단합니다. 사람들은 본능적으로 사용법을 알고 있기 때문입니다. 문제는 그들도 해커의 거대한 표적. 직원을 속여 넘겨주거나 추측할 수도 있습니다. 그러면 전체 네트워크 액세스를 방해하는 요소가 없는 경우가 많습니다.

미국 직원의 절반 이상이 펜과 종이에 비밀번호를 적어두었습니다. 하나의 견적. 잘못된 암호 관행 해커에게 문을 엽니다. 직원이 기억해야 하는 자격 증명의 수가 증가함에 따라 오용 가능성도 커집니다.

사회 공학: 인간은 사교적인 동물입니다. 그것은 우리를 설득에 취약하게 만듭니다. 우리는 우리가 들은 이야기와 그 이야기를 하는 사람을 믿고 싶습니다. 이것은 사회 공학이 작동하는 이유: 위협 행위자가 피해자를 속여 자신의 명령을 따르도록 하기 위해 시간 압박 및 사칭과 같은 설득 기술을 사용합니다. 가장 좋은 예는 다음과 같습니다. 피싱 이메일, 문자(일명 스 미싱) 및 전화 통화(일명 바이 싱), 그러나 그것은 또한 비즈니스 이메일 손상(BEC) 공격 및 기타 사기.

사이버 범죄 경제: 오늘날 이러한 위협 행위자는 다크 웹 사이트의 복잡하고 정교한 지하 네트워크를 보유하고 있습니다. 데이터 및 서비스 구매 및 판매 – 방탄 호스팅에서 랜섬웨어 서비스에 이르기까지 모든 것. 이것의 수조의 가치가 있다고 한다. 사이버 범죄 산업의 이러한 "전문화"는 자연스럽게 위협 행위자가 투자 수익이 가장 높은 곳에 집중하도록 했습니다. 많은 경우, 이는 사용자 자신, 즉 기업 직원과 소비자를 대상으로 함을 의미합니다.

하이브리드 작업: 재택근무자는 것으로 생각 피싱 링크를 클릭하고 업무용 장치를 개인적인 용도로 사용하는 것과 같은 위험한 행동에 가담할 가능성이 더 높습니다. 이처럼 새로운 시대의 도래 하이브리드 작업 공격자가 가장 취약한 기업 사용자를 표적으로 삼을 수 있는 기회를 제공했습니다. 홈 네트워크와 컴퓨터가 사무실에 있는 네트워크보다 덜 보호된다는 사실은 말할 것도 없습니다.

훈련이 왜 중요합니까?

궁극적으로, 제XNUMX자의 공격이나 우발적인 데이터 공개로 인한 심각한 보안 침해는 심각한 재정 및 평판 손상을 초래할 수 있습니다. ㅏ 최근 연구 밝혀 그러한 침해를 겪은 기업의 20%는 결과적으로 거의 파산할 뻔했습니다. 별도 연구 전 세계적으로 데이터 유출의 평균 비용이 현재 그 어느 때보다 높아졌다고 주장합니다. 4.2만 달러가 넘습니다.

이는 단지 고용주를 위한 비용 계산이 아닙니다. HIPAA, PCI DSS, SOX(Sarbanes-Oxley)와 같은 많은 규정에서는 준수 조직이 직원 보안 인식 교육 프로그램을 실행하도록 요구합니다.

인식 프로그램을 작동시키는 방법

우리는 "왜"를 설명했지만 "어떻게"는 어떻습니까? CISO는 일반적으로 기업 교육 프로그램을 주도하는 HR 팀과의 상담부터 시작해야 합니다. 그들은 임시 조언이나 보다 조정된 지원을 제공할 수 있습니다.

다룰 영역은 다음과 같습니다.

• 사회 공학 및 피싱/비싱/스미싱
• 이메일을 통한 우발적 공개
• 웹 보호(공용 Wi-Fi의 안전한 검색 및 사용)
• 비밀번호 모범 사례 및 다단계 인증
• 안전한 원격 및 재택 근무
• 내부 위협을 탐지하는 방법

무엇보다도 수업은 다음과 같아야 함을 명심하십시오.

• 재미와 게임 화 (두려움에 기반한 메시지보다 긍정적인 강화를 생각하십시오)
• 실제 시뮬레이션 연습을 기반으로 함
• 짧은 수업(10-15분)으로 연중 연속 실행
• 임원, 아르바이트, 계약직 등 전 직원 포함
• 개인의 필요에 맞게 프로그램을 조정하는 데 사용할 수 있는 결과를 생성할 수 있습니다.
• 다양한 역할에 맞게 조정

이 모든 것이 결정되면 올바른 교육 제공자를 찾는 것이 중요합니다. 좋은 소식은 무료 도구를 포함하여 다양한 가격대의 온라인 옵션이 많다는 것입니다. 오늘날의 위협 환경을 고려할 때 아무런 조치도 취하지 않는 것은 선택 사항이 아닙니다.