Навчання з кібербезпеки: що це таке і що найкраще працює?

У кібербезпеці існує стара приказка, що люди є найслабшою ланкою в ланцюгу безпеки. Це все більше вірно, оскільки суб’єкти загроз змагаються за експлуатацію довірливих чи недбалих працівників. Але також можна перетворити цю слабку ланку в грізну першу лінію захисту. Головне — розгорнути ефективний програма навчання з питань безпеки.

Дослідження показує що 82% порушень даних, проаналізованих у 2021 році, пов’язані з «людським елементом». Неминучим фактом сучасних кіберзагроз є те, що співробітники є основною мішенню для атаки. Але дайте їм знання, необхідні, щоб помітити попереджувальні ознаки атаки та зрозуміти, коли вони можуть піддавати конфіденційні дані ризику, і є величезна можливість просувати зусилля щодо зменшення ризику.

Що таке тренінг з питань безпеки?

Навчання з підвищення обізнаності, мабуть, не найкраще ім’я для того, чого хочуть досягти керівники ІТ та безпеки у своїх програмах. Насправді мета полягає в тому, щоб змінити поведінку шляхом покращення освіти про те, де криються ключові кіберризики та які прості найкращі методи можна навчитися, щоб їх пом’якшити. Це формалізований процес, який в ідеалі має охоплювати низку тематичних областей і прийомів, щоб надати співробітникам можливість приймати правильні рішення. Таким чином, його можна розглядати як фундаментальний стовп для організацій, які бажають створити a безпека за проектом Корпоративна культура.

Чому необхідний тренінг з питань безпеки?

Як і будь-яка програма навчання, ідея полягає в тому, щоб підвищити навички особистості, щоб зробити її кращим працівником. В цьому випадку, підвищення рівня їхньої обізнаності щодо безпеки не тільки буде добре підтримувати особистість, коли вона орієнтується на різні ролі, але й зменшить ризик потенційно порушення безпеки.

Правда полягає в тому, що корпоративні користувачі перебувають у центрі будь-якої організації. Якщо їх можна зламати, то й організацію можна зламати. Подібним чином доступ, який вони мають до конфіденційних даних та ІТ-систем, підвищує ризик нещасних випадків, які також можуть негативно вплинути на компанію.

Кілька тенденцій висвітлюють нагальну потребу в програмах навчання щодо безпеки:

Паролі: Статичні облікові дані існують так само довго, як і комп’ютерні системи. І незважаючи на заклики експертів з безпеки протягом багатьох років, вони залишаються найпопулярнішим методом аутентифікації користувачів. Причина проста: люди інстинктивно знають, як ними користуватися. Проблема в тому, що вони також є величезна мішень для хакерів. Вдасться обманом змусити співробітника передати їх або навіть вгадати їх, і часто нічого іншого не заважає повному доступу до мережі.

Згідно з даними, більше половини американських співробітників записували паролі на ручку та папір одна оцінка. Погані методи паролів відкрити двері хакерам. І зі зростанням кількості облікових даних, які працівники повинні запам’ятати, зростає і ймовірність неправомірного використання.

Соціальна інженерія: Люди — товариські істоти. Це робить нас сприйнятливими до переконання. Ми хочемо вірити в історії, які нам розповідають, і людині, яка їх розповідає. Це є чому працює соціальна інженерія: використання суб’єктами загрози методів переконання, таких як обмеження часу та видавання себе за іншу особу, щоб обманом змусити жертву виконати їхні пропозиції. Найкращі приклади phishing електронні листи, текстові повідомлення (він же розмивання) і телефонні дзвінки (він же бідність), але він також використовується в атаки компрометації ділової електронної пошти (BEC). та інші шахрайства.

Економіка кіберзлочинності: Сьогодні ці суб’єкти загроз мають складну та складну підпільну мережу темних веб-сайтів, через які вони можуть використовувати купувати та продавати дані та послуги – все від куленепробивного хостингу до програм-вимагачів як послуги. Його кажуть, вартує трильйони. Ця «професіоналізація» індустрії кіберзлочинності, природно, змусила суб’єктів загрози зосередити свої зусилля там, де віддача інвестицій є найвищою. У багатьох випадках це означає націлювання на самих користувачів: корпоративних співробітників і споживачів.

Гібридна робота: Домашні працівники є думав бути більша ймовірність натискати фішингові посилання та ризикована поведінка, наприклад використання робочих пристроїв для особистого використання. Таким чином, поява нової ери в гібридна робоча відкрила двері для зловмисників, щоб націлюватись на корпоративних користувачів, коли вони найбільш уразливі. Не кажучи вже про те, що домашні мережі та комп’ютери можуть бути менш захищені, ніж їхні офісні еквіваленти.

Чому навчання має значення?

Зрештою, серйозне порушення безпеки, будь то внаслідок атаки третьої сторони або випадкового розкриття даних, може призвести до серйозних фінансових та репутаційних збитків. А показало недавнє дослідження що 20% підприємств, які постраждали від такого порушення, в результаті ледь не збанкрутували. Окремі дослідження стверджує, що середня вартість злому даних у всьому світі зараз вища, ніж будь-коли: понад 4.2 мільйона доларів США.

Це не просто розрахунок витрат для роботодавців. Багато нормативних актів, як-от HIPAA, PCI DSS і Сарбейнса-Окслі (SOX), вимагають від організацій, які їх дотримуються, проводити навчальні програми з безпеки працівників.

Як зробити так, щоб програми інформування працювали

Ми пояснили «чому», але як щодо «як»? CISO повинні почати з консультацій з HR-командами, які зазвичай ведуть корпоративні навчальні програми. Вони можуть надати спеціальні поради чи більш скоординовану підтримку.

Серед областей, які потрібно охопити, можуть бути:

• Соціальна інженерія та фішинг/вішинг/смішинг
• Випадкове розкриття електронною поштою
• Веб-захист (безпечний пошук і використання загальнодоступного Wi-Fi)
• Найкращі методи паролів та багатофакторна аутентифікація
• Безпечна дистанційна та домашня робота
• Як розпізнати інсайдерські загрози

Перш за все, пам’ятайте, що уроки мають бути:

• Весело і гейміфікований (думайте про позитивне підкріплення, а не про повідомлення, засновані на страху)
• На основі симуляційних вправ у реальному світі
• Бігайте безперервно протягом року короткими уроками (10-15 хвилин)
• Включно з усіма співробітниками, включаючи керівників, сумісників і підрядників
• Здатний генерувати результати, які можна використовувати для налаштування програм відповідно до індивідуальних потреб
• Пристосований до різних ролей

Коли все це буде вирішено, важливо знайти відповідного постачальника тренінгів. Хороша новина полягає в тому, що в Інтернеті є багато варіантів за різними цінами, включаючи безкоштовні інструменти. Враховуючи сучасний ландшафт загроз, бездіяльність не вихід.