Formare de conștientizare a securității cibernetice: ce este și ce funcționează cel mai bine?

Există o veche zicală în securitatea cibernetică că oamenii sunt veriga cea mai slabă a lanțului de securitate. Acest lucru este din ce în ce mai adevărat, pe măsură ce actorii amenințărilor concurează pentru a exploata angajați creduli sau neglijenți. Dar este și posibil să transformăm acea verigă slabă într-o primă linie de apărare formidabilă. Cheia este lansarea unui eficient program de instruire privind conștientizarea securității.

Cercetările relevă că 82% dintre încălcările de date analizate în 2021 au implicat un „element uman”. Este un fapt inevitabil al amenințărilor cibernetice moderne că angajații reprezintă o țintă de top pentru atacuri. Dar oferiți-le cunoștințele necesare pentru a identifica semnele de avertizare ale unui atac și pentru a înțelege când pot pune în pericol datele sensibile și există o oportunitate uriașă de a avansa eforturile de atenuare a riscurilor.

Ce este formarea de conștientizare a securității?

Instruirea de conștientizare nu este poate cea mai bună denumire pentru ceea ce liderii IT și de securitate doresc să obțină în programele lor. În realitate, scopul este de a schimba comportamentele printr-o educație îmbunătățită despre unde se află principalele riscuri cibernetice și ce bune practici simple pot fi învățate pentru a le atenua. Este un proces formalizat care ar trebui să acopere în mod ideal o gamă largă de domenii tematice și tehnici pentru a oferi angajaților puterea să ia deciziile corecte. Ca atare, poate fi privit ca un pilon de bază pentru organizațiile care doresc să creeze un securitate prin proiectare cultură corporatistă.

De ce este necesară formarea de conștientizare a securității?

Ca orice fel de program de formare, ideea este de a îmbunătăți abilitățile individului pentru a-l face un angajat mai bun. În acest caz, îmbunătățirea gradului de conștientizare a securității acestora nu numai că îi va ajuta pe individul să navigheze în diferite roluri, dar va reduce riscul unui potențial încălcarea securității dăunătoare.

Adevărul este că utilizatorii corporativi stau în centrul oricărei organizații. Dacă pot fi piratați, atunci la fel și organizația. În mod similar, accesul pe care îl au la date sensibile și la sistemele IT crește riscul producerii unor accidente care ar putea avea, de asemenea, un impact negativ asupra companiei.

Mai multe tendințe evidențiază nevoia urgentă de programe de formare de conștientizare a securității:

Parole: Acreditările statice există de atâta timp cât sistemele informatice. Și în ciuda cererilor experților în securitate de-a lungul anilor, aceștia rămân cea mai populară metodă de autentificare a utilizatorilor. Motivul este simplu: oamenii știu instinctiv să le folosească. Provocarea este că ei sunt și un țintă uriașă pentru hackeri. Reușiți să păcăliți un angajat să le predea sau chiar să le ghiciți și, deseori, nimic altceva nu stă în calea accesului complet la rețea.

Peste jumătate dintre angajații americani au scris parolele pe pix și hârtie, potrivit o estimare. Practici proaste pentru parole deschide ușa hackerilor. Și pe măsură ce numărul de acreditări pe care angajații trebuie să le amintească crește, la fel crește și probabilitatea unei utilizări greșite.

Inginerie sociala: Ființele umane sunt creaturi sociabile. Asta ne face susceptibili la persuasiune. Vrem să credem poveștile care ni se spun și persoana care le spune. Aceasta este de ce funcționează ingineria socială: utilizarea de către actorii amenințărilor a tehnicilor persuasive, cum ar fi presiunea timpului și uzurparea identității, pentru a păcăli victima să-și îndeplinească dorinta. Cele mai bune exemple sunt Phishing e-mailuri, texte (alias mirosind), și apeluri telefonice (alias Vishing), dar este folosit și în atacuri de compromitere a e-mailurilor de afaceri (BEC). si alte escrocherii.

Economia criminalității informatice: Astăzi, acești actori de amenințări au o rețea subterană complexă și sofisticată de site-uri web întunecate prin intermediul cărora să poată ajunge cumpără și vinde date și servicii – totul, de la găzduire antiglonț până la ransomware-as-a-service. este se spune că valorează trilioane. Această „profesionalizare” a industriei criminalității cibernetice i-a determinat în mod natural pe actorii amenințărilor să-și concentreze eforturile acolo unde rentabilitatea investiției este cea mai mare. În multe cazuri, asta înseamnă să vizați utilizatorii înșiși: angajații corporativi și consumatorii.

Funcționare hibridă: Lucrătorii la domiciliu sunt cred că este este mai probabil să facă clic pe link-uri de phishing și să se implice în comportamente riscante, cum ar fi utilizarea dispozitivelor de lucru pentru uz personal. Ca atare, apariția unei noi ere a lucru hibrid a deschis ușa atacatorilor să vizeze utilizatorii corporativi atunci când sunt cei mai vulnerabili. Asta ca să nu mai vorbim de faptul că rețelele de acasă și computerele pot fi mai puțin bine protejate decât echivalentele lor de birou.

De ce contează antrenamentul?

În cele din urmă, o încălcare gravă a securității, indiferent dacă rezultă dintr-un atac al unei terțe părți sau dintr-o dezvăluire accidentală a datelor, ar putea duce la daune financiare și reputaționale majore. A studiu recent a relevat că 20% dintre întreprinderile care au suferit o astfel de încălcare aproape au intrat în faliment ca urmare. Cercetare separată susține că costul mediu al unei încălcări a datelor la nivel global este acum mai mare ca niciodată: peste 4.2 milioane USD.

Nu este doar un calcul al costurilor pentru angajatori. Multe reglementări, cum ar fi HIPAA, PCI DSS și Sarbanes-Oxley (SOX), impun organizațiilor care se conformează să desfășoare programe de formare pentru conștientizarea securității angajaților.

Cum să funcționeze programele de conștientizare

Am explicat „de ce”, dar cum rămâne cu „cum”? CISO ar trebui să înceapă prin a se consulta cu echipele de HR, care în mod normal conduc programe de formare corporativă. Aceștia pot fi capabili să ofere sfaturi ad-hoc sau sprijin mai coordonat.

Printre domeniile de acoperit ar putea fi:

• Inginerie socială și phishing/vishing/smishing
• Dezvăluire accidentală prin e-mail
• Protecție web (căutare și utilizare în siguranță a rețelei Wi-Fi publice)
• Cele mai bune practici privind parola și autentificarea cu mai mulți factori
• Lucru sigur de la distanță și acasă
• Cum să depistați amenințările interne

Mai presus de toate, rețineți că lecțiile ar trebui să fie:

• Distractie si gamificat (Gândește-te la întărirea pozitivă mai degrabă decât la mesaje bazate pe frică)
• Bazat pe exerciții de simulare din lumea reală
• Alergați continuu pe tot parcursul anului în lecții scurte (10-15 minute)
• Inclusiv fiecare membru al personalului, inclusiv directori, cu normă parțială și contractori
• Capabil să genereze rezultate care pot fi utilizate pentru a ajusta programele în funcție de nevoile individuale
• Adaptat pentru a se potrivi diferitelor roluri

Odată ce toate acestea sunt decise, este important să găsiți furnizorul de formare potrivit. Vestea bună este că există o mulțime de opțiuni online la o gamă de puncte de preț, inclusiv instrumente gratuite. Având în vedere peisajul amenințărilor de astăzi, inacțiunea nu este o opțiune.