การฝึกอบรมความตระหนักด้านความปลอดภัยทางไซเบอร์: อะไรและอะไรทำงานได้ดีที่สุด?

มีสุภาษิตโบราณเกี่ยวกับความปลอดภัยในโลกไซเบอร์ว่ามนุษย์เป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย นั่นยิ่งเป็นจริงขึ้นเรื่อยๆ เมื่อผู้คุกคามแข่งขันกันเพื่อเอารัดเอาเปรียบพนักงานที่หูเบาหรือประมาทเลินเล่อ แต่ก็เป็นไปได้ที่จะเปลี่ยนจุดอ่อนนั้นเป็นแนวป้องกันแรกที่น่าเกรงขาม กุญแจสำคัญคือการเปิดตัวที่มีประสิทธิภาพ โครงการอบรมความรู้ด้านความปลอดภัย.

งานวิจัยเผย 82% ของการละเมิดข้อมูลที่วิเคราะห์ในปี 2021 เกี่ยวข้องกับ “องค์ประกอบของมนุษย์” เป็นข้อเท็จจริงที่หลีกเลี่ยงไม่ได้ของภัยคุกคามทางไซเบอร์สมัยใหม่ที่พนักงานเป็นเป้าหมายสูงสุดในการโจมตี แต่ให้ความรู้ที่จำเป็นแก่พวกเขาในการระบุสัญญาณเตือนของการโจมตี และเพื่อทำความเข้าใจว่าเมื่อใดที่พวกเขาอาจนำข้อมูลที่ละเอียดอ่อนไปตกอยู่ในความเสี่ยง และมีโอกาสสูงที่จะก้าวไปสู่ความพยายามลดความเสี่ยง

การฝึกอบรมความตระหนักด้านความปลอดภัยคืออะไร?

การฝึกอบรมการรับรู้อาจไม่ใช่ชื่อเล่นที่ดีที่สุดสำหรับสิ่งที่ผู้นำด้านไอทีและความปลอดภัยต้องการบรรลุในโปรแกรมของพวกเขา ในความเป็นจริง เป้าหมายคือการเปลี่ยนแปลงพฤติกรรมผ่านการศึกษาที่ดีขึ้นเกี่ยวกับตำแหน่งที่มีความเสี่ยงทางไซเบอร์ที่สำคัญและวิธีปฏิบัติที่ดีที่สุดง่ายๆ ที่สามารถเรียนรู้เพื่อลดความเสี่ยงเหล่านั้น เป็นกระบวนการที่เป็นทางการซึ่งควรครอบคลุมหัวข้อและเทคนิคต่างๆ เพื่อให้พนักงานสามารถตัดสินใจได้อย่างถูกต้อง ดังนั้นจึงสามารถมองได้ว่าเป็นเสาหลักสำหรับองค์กรที่ต้องการสร้าง ความปลอดภัยโดยการออกแบบ วัฒนธรรมองค์กร.

เหตุใดการฝึกอบรมความตระหนักด้านความปลอดภัยจึงจำเป็น

เช่นเดียวกับโปรแกรมการฝึกอบรมอื่นๆ แนวคิดก็คือการเพิ่มพูนทักษะของบุคคลเพื่อให้พวกเขาเป็นพนักงานที่ดีขึ้น ในกรณีนี้, ปรับปรุงการรับรู้ด้านความปลอดภัยของพวกเขา จะไม่เพียงแต่ยืนหยัดในบทบาทที่ดีของบุคคลในขณะที่พวกเขาดำเนินบทบาทต่าง ๆ เท่านั้น แต่ยังช่วยลดความเสี่ยงที่อาจเกิดขึ้น การละเมิดความปลอดภัยที่สร้างความเสียหาย.

ความจริงก็คือว่าผู้ใช้ระดับองค์กรเป็นหัวใจสำคัญของทุกองค์กร หากพวกเขาสามารถถูกแฮ็กได้ องค์กรก็สามารถถูกแฮ็กได้เช่นกัน ในทำนองเดียวกัน การเข้าถึงข้อมูลที่ละเอียดอ่อนและระบบไอทีเพิ่มความเสี่ยงที่จะเกิดอุบัติเหตุซึ่งอาจส่งผลเสียต่อบริษัทด้วย

แนวโน้มหลายอย่างเน้นย้ำถึงความจำเป็นเร่งด่วนสำหรับโปรแกรมการฝึกอบรมด้านความปลอดภัย:

รหัสผ่าน: ข้อมูลรับรองแบบคงที่มีมานานพอๆ กับระบบคอมพิวเตอร์ และแม้จะมีการร้องขอจากผู้เชี่ยวชาญด้านความปลอดภัยในช่วงหลายปีที่ผ่านมา แต่ก็ยังคงเป็นวิธีการตรวจสอบผู้ใช้ที่ได้รับความนิยมมากที่สุด เหตุผลนั้นง่าย: ผู้คนรู้วิธีใช้งานโดยสัญชาตญาณ ความท้าทายคือพวกเขายังเป็น เป้าหมายใหญ่สำหรับแฮ็กเกอร์. จัดการเพื่อหลอกให้พนักงานส่งมอบหรือแม้แต่คาดเดา และบ่อยครั้งที่ไม่มีอะไรมาขัดขวางการเข้าถึงเครือข่ายโดยสมบูรณ์

พนักงานอเมริกันกว่าครึ่งเขียนรหัสผ่านด้วยปากกาและกระดาษ หนึ่งประมาณ. แนวทางปฏิบัติเกี่ยวกับรหัสผ่านที่ไม่ดี เปิดประตูให้แฮกเกอร์ และเมื่อจำนวนข้อมูลรับรองที่พนักงานต้องจำเพิ่มขึ้น โอกาสที่จะนำไปใช้ในทางที่ผิดก็เพิ่มขึ้นเช่นกัน

วิศวกรรมสังคม: มนุษย์เป็นสิ่งมีชีวิตที่เข้ากับคนง่าย นั่นทำให้เราอ่อนไหวต่อการโน้มน้าวใจ เราต้องการเชื่อเรื่องราวที่เราเล่าและคนเล่า นี่คือ ทำไมวิศวกรรมสังคมถึงใช้งานได้: การใช้โดยผู้คุกคามด้วยเทคนิคการโน้มน้าวใจ เช่น ความกดดันด้านเวลา และการแอบอ้างบุคคลอื่น เพื่อหลอกล่อเหยื่อให้ทำตามคำสั่งของตน ตัวอย่างที่ดีที่สุดคือ ฟิชชิ่ง อีเมล ข้อความ (aka Smishing) และการโทรศัพท์ (aka vishing) แต่ก็ใช้ใน การโจมตีด้วยอีเมลธุรกิจ (BEC) และการหลอกลวงอื่นๆ

เศรษฐกิจอาชญากรรมไซเบอร์: ปัจจุบันผู้ก่อภัยคุกคามเหล่านี้มีเครือข่ายเว็บไซต์มืดที่ซับซ้อนและซับซ้อน ซื้อและขายข้อมูลและบริการ – ทุกอย่างตั้งแต่โฮสติ้งกันกระสุนไปจนถึงบริการเรียกค่าไถ่ ของมัน กล่าวกันว่ามีค่าเป็นล้านล้าน. “ความเป็นมืออาชีพ” ของอุตสาหกรรมอาชญากรรมทางไซเบอร์ทำให้ผู้คุกคามมุ่งความสนใจไปที่ผลตอบแทนจากการลงทุนสูงสุด ในหลายกรณี นั่นหมายถึงการกำหนดเป้าหมายผู้ใช้เอง: พนักงานองค์กรและผู้บริโภค

การทำงานแบบไฮบริด: คนทำงานที่บ้านคือ คิดว่าจะเป็น มีแนวโน้มที่จะคลิกลิงก์ฟิชชิงและมีส่วนร่วมในพฤติกรรมเสี่ยง เช่น การใช้อุปกรณ์ที่ทำงานเพื่อการใช้งานส่วนตัว ดังนั้น การเกิดขึ้นของยุคใหม่ของ การทำงานแบบไฮบริด ได้เปิดประตูให้ผู้โจมตีมุ่งเป้าไปที่ผู้ใช้ระดับองค์กรเมื่อพวกเขาอยู่ในจุดที่เปราะบางที่สุด ไม่ต้องพูดถึงข้อเท็จจริงที่ว่าเครือข่ายในบ้านและคอมพิวเตอร์อาจได้รับการปกป้องน้อยกว่าเครือข่ายในสำนักงาน

เหตุใดการฝึกอบรมจึงมีความสำคัญ

ท้ายที่สุด การละเมิดความปลอดภัยอย่างร้ายแรง ไม่ว่าจะเป็นผลมาจากการโจมตีของบุคคลที่สามหรือการเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ อาจส่งผลให้เกิดความเสียหายทางการเงินและชื่อเสียงอย่างมาก ก การศึกษาล่าสุดเปิดเผย 20% ของธุรกิจที่ประสบปัญหาดังกล่าวเกือบล้มละลายเป็นผล แยกการวิจัย อ้างว่าค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลทั่วโลกในขณะนี้สูงกว่าที่เคย: มากกว่า 4.2 ล้านเหรียญสหรัฐ

ไม่ใช่แค่การคำนวณต้นทุนสำหรับนายจ้างเท่านั้น กฎระเบียบต่างๆ เช่น HIPAA, PCI DSS และ Sarbanes-Oxley (SOX) กำหนดให้องค์กรที่ปฏิบัติตามกฎระเบียบต้องดำเนินโครงการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยของพนักงาน

วิธีทำให้โปรแกรมการรับรู้ทำงานได้

เราได้อธิบายว่า “ทำไม” แล้ว “อย่างไร” ล่ะ? CISO ควรเริ่มต้นด้วยการปรึกษากับทีม HR ซึ่งโดยปกติแล้วจะเป็นผู้นำโปรแกรมการฝึกอบรมขององค์กร พวกเขาอาจสามารถให้คำแนะนำเฉพาะกิจหรือการสนับสนุนที่ประสานงานกันมากขึ้น

ในพื้นที่ที่ครอบคลุมอาจเป็น:

• วิศวกรรมสังคมและฟิชชิง/วิชชิ่ง/สมิชชิง
• การเปิดเผยโดยบังเอิญทางอีเมล
• การป้องกันเว็บไซต์ (การค้นหาอย่างปลอดภัยและการใช้ Wi-Fi สาธารณะ)
• แนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับรหัสผ่านและการยืนยันตัวตนแบบหลายปัจจัย
• ปลอดภัยจากระยะไกลและการทำงานที่บ้าน
• วิธีสังเกตภัยคุกคามจากภายใน

เหนือสิ่งอื่นใด โปรดทราบว่าบทเรียนควรเป็น:

• สนุกและ เป็นเกม (คิดบวกเสริมแรงมากกว่าข้อความที่เน้นความกลัว)
• ขึ้นอยู่กับแบบฝึกหัดจำลองสถานการณ์จริง
• ดำเนินการต่อเนื่องตลอดทั้งปีในบทเรียนสั้นๆ (10-15 นาที)
• รวมถึงพนักงานทุกคน รวมถึงผู้บริหาร พนักงานชั่วคราว และผู้รับเหมา
• สามารถสร้างผลลัพธ์ที่สามารถนำไปปรับโปรแกรมให้เหมาะกับความต้องการของแต่ละบุคคลได้
• ปรับแต่งให้เหมาะสมกับบทบาทต่างๆ

เมื่อตัดสินใจทั้งหมดนี้แล้ว สิ่งสำคัญคือต้องหาผู้ให้บริการฝึกอบรมที่เหมาะสม ข่าวดีก็คือมีตัวเลือกมากมายทางออนไลน์ในราคาต่างๆ รวมถึงเครื่องมือฟรี เมื่อพิจารณาจากภาพรวมของภัยคุกคามในปัจจุบัน การอยู่เฉยไม่ใช่ทางเลือก