Gi ansatte kunnskapen som trengs for å oppdage varseltegnene på et nettangrep og for å forstå når de kan sette sensitive data i fare
Det er et gammelt ordtak innen cybersikkerhet at mennesker er det svakeste leddet i sikkerhetskjeden. Det er stadig mer sant, ettersom trusselaktører konkurrerer om å utnytte godtroende eller uforsiktige ansatte. Men det er også mulig å gjøre det svake leddet til en formidabel første forsvarslinje. Nøkkelen er å rulle ut en effektiv opplæringsprogram for sikkerhetsbevissthet.
Forskning avslører at 82 % av datainnbruddene som ble analysert i 2021 involverte et «menneskelig element». Det er et uunngåelig faktum ved moderne cybertrusler at ansatte representerer et toppmål for angrep. Men gi dem kunnskapen som trengs for å oppdage varseltegnene på et angrep, og for å forstå når de kan sette sensitive data i fare, og det er en enorm mulighet til å fremme risikoreduserende innsats.
Hva er opplæring i sikkerhetsbevissthet?
Bevissthetstrening er kanskje ikke den beste betegnelsen for hva IT- og sikkerhetsledere ønsker å oppnå i programmene sine. I virkeligheten er målet å endre atferd gjennom forbedret opplæring om hvor de viktigste cyberrisikoene ligger og hvilke enkle beste praksiser som kan læres for å redusere dem. Det er en formalisert prosess som ideelt sett bør dekke en rekke emneområder og teknikker for å gjøre ansatte i stand til å ta de riktige avgjørelsene. Som sådan kan det sees på som en grunnpilar for organisasjoner som ønsker å skape en sikkerhet-by-design bedriftskultur.
Hvorfor er opplæring i sikkerhetsbevissthet nødvendig?
Som alle slags treningsprogram, er ideen å forbedre ferdighetene til den enkelte for å gjøre dem til en bedre medarbeider. I dette tilfellet, forbedre deres sikkerhetsbevissthet vil ikke bare stå den enkelte til gode når de navigerer i ulike roller, men det vil redusere risikoen for en potensielt skadelig sikkerhetsbrudd.
Sannheten er at bedriftsbrukere sitter i hjertet av enhver organisasjon. Hvis de kan hackes, så kan organisasjonen det også. På tilsvarende måte øker tilgangen de har til sensitive data og IT-systemer risikoen for at det skjer ulykker som også kan påvirke selskapet negativt.
Flere trender fremhever det presserende behovet for opplæringsprogrammer for sikkerhetsbevissthet:
passord: Statisk legitimasjon har eksistert like lenge som datasystemer. Og til tross for bønn fra sikkerhetseksperter gjennom årene, er de fortsatt den mest populære metoden for brukerautentisering. Grunnen er enkel: folk vet instinktivt hvordan de skal bruke dem. Utfordringen er at de også er en stort mål for hackere. Klarer å lure en ansatt til å overlate dem, eller til og med gjette dem, og ofte er det ingenting annet som står i veien for full nettverkstilgang.
Over halvparten av amerikanske ansatte har skrevet ned passord på penn og papir, ifølge ett estimat. Dårlig passordpraksis åpne døren for hackere. Og etter hvert som antallet påloggingsopplysninger som ansatte må huske øker, øker også sannsynligheten for misbruk.
Sosial teknikk: Mennesker er sosiale skapninger. Det gjør oss mottakelige for overtalelse. Vi ønsker å tro på historiene vi blir fortalt og personen som forteller dem. Dette er hvorfor sosial ingeniørarbeid fungerer: trusselaktørers bruk av overbevisende teknikker som tidspress og etterligning for å lure offeret til å gjøre sitt bud. De beste eksemplene er phishing e-poster, tekster (aka smishing), og telefonsamtaler (aka Vishing), men den brukes også i business email compromise (BEC) angrep og annen svindel.
Cyberkrim-økonomien: I dag har disse trusselaktørene et komplekst og sofistikert underjordisk nettverk av mørke nettsider som de kan bruke dem til kjøpe og selge data og tjenester – alt fra skuddsikker hosting til løsepenge-som-en-tjeneste. Det er sies å være verdt billioner. Denne "profesjonaliseringen" av cyberkriminalitetsindustrien har naturlig nok ført til at trusselaktører fokuserer innsatsen der avkastningen på investeringen er høyest. I mange tilfeller betyr det å målrette brukerne selv: bedriftsansatte og forbrukere.
Hybridarbeid: Hjemmearbeidere er tenkt å være mer sannsynlighet for å klikke på phishing-lenker og engasjere seg i risikabel atferd som å bruke arbeidsenheter til personlig bruk. Som sådan, fremveksten av en ny æra av hybridarbeid har åpnet døren for angripere til å målrette bedriftsbrukere når de er mest sårbare. Det er ikke å nevne det faktum at hjemmenettverk og datamaskiner kan være dårligere beskyttet enn deres kontorbaserte ekvivalenter.
Hvorfor er trening viktig?
Til syvende og sist kan et alvorlig sikkerhetsbrudd, enten det er et resultat av tredjepartsangrep eller utilsiktet avsløring av data, føre til store økonomiske skader og omdømmeskader. EN nylig studie avslørt at 20 % av virksomhetene som led et slikt brudd nesten gikk konkurs som et resultat. Separat forskning hevder at gjennomsnittskostnaden for et datainnbrudd globalt nå er høyere enn noen gang: over 4.2 millioner dollar.
Det er ikke bare en kostnadsberegning for arbeidsgivere. Mange forskrifter som HIPAA, PCI DSS og Sarbanes-Oxley (SOX) krever at organisasjoner som overholder kravene, kjører opplæringsprogrammer for ansattes sikkerhetsbevissthet.
Hvordan få bevisstgjøringsprogrammer til å fungere
Vi har forklart "hvorfor", men hva med "hvordan"? CISOer bør starte med å rådføre seg med HR-team, som normalt leder bedriftens opplæringsprogrammer. De kan være i stand til å gi ad hoc-råd eller mer koordinert støtte.
Blant områdene som skal dekkes kan være:
- Social engineering og phishing/vishing/smishing
- Utilsiktet avsløring via e-post
- Nettbeskyttelse (sikker søking og bruk av offentlig Wi-Fi)
- Gode fremgangsmåter for passord og multifaktorautentisering
- Sikker fjernkontroll og hjemmearbeid
- Hvordan oppdage innsidetrusler
Fremfor alt, husk at leksjonene bør være:
- Moro og gamifisert (tenk positiv forsterkning i stedet for fryktbaserte meldinger)
- Basert på simuleringsøvelser i den virkelige verden
- Løp kontinuerlig gjennom hele året i korte leksjoner (10-15 minutter)
- Inkludert alle ansatte inkludert ledere, deltidsansatte og entreprenører
- Kan generere resultater som kan brukes til å justere programmer for å passe individuelle behov
- Skreddersydd for å passe ulike roller
Når alt dette er bestemt, er det viktig å finne den rette opplæringsleverandøren. Den gode nyheten er at det er mange alternativer på nettet til en rekke prispunkter, inkludert gratisverktøy. Gitt dagens trussellandskap er passivitet ikke et alternativ.
