Предоставьте сотрудникам знания, необходимые для обнаружения предупреждающих признаков кибератаки и понимания, когда они могут подвергнуть риску конфиденциальные данные.
В сфере кибербезопасности существует старая поговорка: люди — самое слабое звено в цепи безопасности. Это становится все более правдой, поскольку субъекты угроз конкурируют за использование доверчивых или небрежных сотрудников. Но также возможно превратить это слабое звено в мощную первую линию обороны. Ключевым моментом является внедрение эффективного программа обучения по вопросам безопасности.
Исследования показывают что 82% утечек данных, проанализированных в 2021 году, были связаны с «человеческим фактором». Неизбежным фактом современных киберугроз является то, что сотрудники представляют собой главную цель для атак. Но дайте им знания, необходимые для обнаружения предупредительных признаков атаки и понимания того, когда они могут подвергнуть риску конфиденциальные данные, и появится огромная возможность активизировать усилия по снижению рисков.
Что такое обучение по вопросам безопасности?
Обучение повышению осведомленности, возможно, не лучшее название того, чего руководители ИТ и безопасности хотят достичь в своих программах. На самом деле цель состоит в том, чтобы изменить поведение посредством улучшения информирования о том, где кроются ключевые киберриски и какие простые передовые методы можно изучить для их смягчения. Это формализованный процесс, который в идеале должен охватывать ряд тематических областей и методов, позволяющих сотрудникам принимать правильные решения. Таким образом, его можно рассматривать как основополагающую основу для организаций, желающих создать безопасность по дизайну корпоративная культура.
Почему необходимо обучение по вопросам безопасности?
Как и любая программа обучения, ее цель состоит в том, чтобы повысить навыки человека и сделать его лучшим сотрудником. В этом случае, повышение их осведомленности о безопасности не только сослужит человеку хорошую службу при выполнении различных ролей, но и снизит риск потенциального разрушительное нарушение безопасности.
Правда в том, что корпоративные пользователи являются сердцем любой организации. Если их можно взломать, то и организацию тоже можно взломать. Аналогичным образом, доступ, который они имеют к конфиденциальным данным и ИТ-системам, повышает риск возникновения несчастных случаев, которые также могут негативно повлиять на компанию.
Несколько тенденций подчеркивают острую необходимость в программах обучения по вопросам безопасности:
Пароли: Статические учетные данные существуют столько же, сколько и компьютерные системы. И, несмотря на призывы экспертов по безопасности на протяжении многих лет, они остаются самым популярным методом аутентификации пользователей. Причина проста: люди инстинктивно знают, как их использовать. Проблема в том, что они также являются огромная цель для хакеров. Сумейте обманом заставить сотрудника передать их или даже угадать, и зачастую на пути к полному доступу к сети больше ничего не стоит.
По данным, более половины американских сотрудников записали пароли на ручке и бумаге. одна оценка. Плохая практика паролей откройте дверь хакерам. А по мере того, как растет количество учетных данных, которые сотрудникам необходимо запомнить, растет и вероятность их неправильного использования.
Социальная инженерия: Люди – существа общительные. Это делает нас восприимчивыми к убеждению. Мы хотим верить историям, которые нам рассказывают, и тому, кто их рассказывает. Это почему социальная инженерия работает: использование субъектами угроз таких методов убеждения, как давление во времени и выдача себя за другое лицо, чтобы обманом заставить жертву выполнять свои приказы. Лучшими примерами являются фишинг электронные письма, текстовые сообщения (также известные как smishing) и телефонные звонки (также известные как Вишинг), но он также используется в компрометация деловой электронной почты (BEC) и другие мошенничества.
Экономика киберпреступности: Сегодня эти злоумышленники имеют сложную и изощренную подземную сеть темных веб-сайтов, через которые можно покупать и продавать данные и услуги — от пуленепробиваемого хостинга до программ-вымогателей как услуги. Его говорят, что он стоит триллионы. Такая «профессионализация» индустрии киберпреступности естественным образом привела к тому, что субъекты угроз сосредоточили свои усилия там, где отдача от инвестиций является самой высокой. Во многих случаях это означает, что они нацелены на самих пользователей: сотрудников компаний и потребителей.
Гибридная работа: Домашние работники считается, что с большей вероятностью будут нажимать на фишинговые ссылки и совершать рискованное поведение, например использовать рабочие устройства в личных целях. Таким образом, наступление новой эры гибридный рабочий открыло злоумышленникам возможность атаковать корпоративных пользователей, когда они наиболее уязвимы. Не говоря уже о том, что домашние сети и компьютеры могут быть менее хорошо защищены, чем их офисные аналоги.
Почему обучение имеет значение?
В конечном итоге серьезное нарушение безопасности, будь то в результате атаки третьих лиц или случайного раскрытия данных, может привести к серьезному финансовому и репутационному ущербу. А Недавнее исследование показало что 20% предприятий, пострадавших от такого нарушения, в результате чуть не обанкротились. Отдельное исследование утверждает, что средняя стоимость утечки данных во всем мире сейчас выше, чем когда-либо: более 4.2 миллиона долларов США.
Это не просто расчет затрат для работодателей. Многие нормативные акты, такие как HIPAA, PCI DSS и Sarbanes-Oxley (SOX), требуют, чтобы соответствующие организации проводили программы обучения сотрудников по вопросам безопасности.
Как заставить программы повышения осведомленности работать
Мы объяснили «почему», но как насчет «как»? Директорам по информационной безопасности следует начать с консультаций с HR-отделами, которые обычно проводят корпоративные программы обучения. Они могут предоставить специальные советы или более скоординированную поддержку.
Среди областей, которые следует охватить, могут быть:
- Социальная инженерия и фишинг/вишинг/смишинг
- Случайное раскрытие информации по электронной почте
- Веб-защита (безопасный поиск и использование общедоступного Wi-Fi)
- Рекомендации по использованию паролей и многофакторная аутентификация
- Безопасная удаленная и домашняя работа
- Как обнаружить внутренние угрозы
Прежде всего, имейте в виду, что уроки должны быть:
- Весело и геймифицированный (думайте о положительном подкреплении, а не о сообщениях, основанных на страхе)
- Основано на реальных симуляционных упражнениях.
- Бегайте непрерывно в течение года короткими уроками (10-15 минут).
- Включая каждого сотрудника, включая руководителей, сотрудников, работающих неполный рабочий день, и подрядчиков.
- Способность генерировать результаты, которые можно использовать для корректировки программ в соответствии с индивидуальными потребностями.
- Создан для разных ролей
После того, как все это решено, важно найти подходящего поставщика услуг обучения. Хорошей новостью является то, что в Интернете есть множество вариантов по разным ценам, включая бесплатные инструменты. Учитывая сегодняшнюю картину угроз, бездействие не является выходом.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- Мы живем в безопасности
- безопасности веб-сайтов
- зефирнет
