Đào tạo nâng cao nhận thức về an ninh mạng: Nó là gì và những gì hoạt động tốt nhất?

Có một câu ngạn ngữ cũ trong an ninh mạng rằng con người là mắt xích yếu nhất trong chuỗi bảo mật. Điều đó ngày càng đúng, khi các tác nhân đe dọa cạnh tranh để bóc lột nhân viên đáng tin cậy hoặc bất cẩn. Nhưng cũng có thể biến mắt xích yếu ớt đó thành tuyến phòng thủ đầu tiên đáng gờm. Chìa khóa là triển khai một cách hiệu quả chương trình đào tạo nâng cao nhận thức về an ninh.

Nghiên cứu tiết lộ rằng 82% vi phạm dữ liệu được phân tích vào năm 2021 có liên quan đến “yếu tố con người”. Đó là một thực tế không thể tránh khỏi về các cuộc tấn công mạng hiện đại mà các nhân viên là mục tiêu hàng đầu để tấn công. Nhưng hãy cung cấp cho họ kiến ​​thức cần thiết để phát hiện các dấu hiệu cảnh báo của một cuộc tấn công và hiểu khi nào họ có thể đặt dữ liệu nhạy cảm vào nguy cơ và có một cơ hội lớn để thúc đẩy các nỗ lực giảm thiểu rủi ro.

Đào tạo nâng cao nhận thức về an ninh là gì?

Đào tạo nâng cao nhận thức có lẽ không phải là biệt danh tốt nhất cho những gì mà các nhà lãnh đạo CNTT và bảo mật muốn đạt được trong các chương trình của họ. Trên thực tế, mục tiêu là thay đổi hành vi thông qua giáo dục nâng cao về vị trí của các rủi ro mạng chính và những phương pháp hay nhất đơn giản nào có thể học được để giảm thiểu chúng. Đó là một quy trình được chính thức hóa lý tưởng nên bao gồm một loạt các lĩnh vực chủ đề và kỹ thuật để trao quyền cho nhân viên đưa ra quyết định đúng đắn. Do đó, nó có thể được xem như một trụ cột cơ bản cho các tổ chức muốn tạo ra một bảo mật theo thiết kế văn hóa doanh nghiệp.

Tại sao đào tạo nâng cao nhận thức về an ninh lại cần thiết?

Giống như bất kỳ loại chương trình đào tạo nào, ý tưởng là nâng cao kỹ năng của cá nhân để biến họ trở thành nhân viên tốt hơn. Trong trường hợp này, nâng cao nhận thức về bảo mật của họ sẽ không chỉ giúp cá nhân đứng vững khi họ điều hướng các vai trò khác nhau, mà còn giảm nguy cơ có thể xảy ra phá hoại vi phạm an ninh.

Sự thật là người dùng doanh nghiệp là trung tâm của bất kỳ tổ chức nào. Nếu chúng có thể bị tấn công, thì tổ chức cũng vậy. Theo cách tương tự, quyền truy cập mà họ có đối với dữ liệu nhạy cảm và hệ thống CNTT làm tăng nguy cơ xảy ra tai nạn và cũng có thể tác động tiêu cực đến công ty.

Một số xu hướng làm nổi bật nhu cầu cấp thiết đối với các chương trình đào tạo nâng cao nhận thức về bảo mật:

Mật khẩu: Thông tin đăng nhập tĩnh đã tồn tại lâu như các hệ thống máy tính. Và bất chấp những lời van xin của các chuyên gia bảo mật trong nhiều năm, chúng vẫn là phương pháp xác thực người dùng phổ biến nhất. Lý do rất đơn giản: mọi người biết cách sử dụng chúng theo bản năng. Thách thức là chúng cũng mục tiêu khổng lồ cho tin tặc. Quản lý để lừa một nhân viên giao chúng, hoặc thậm chí đoán chúng, và thường không có gì khác cản trở toàn bộ quyền truy cập mạng.

Hơn một nửa số nhân viên Mỹ đã viết mật khẩu ra giấy bút, theo một ước tính. Thực hành mật khẩu kém mở cửa cho tin tặc. Và khi số lượng thông tin xác thực mà nhân viên cần ghi nhớ ngày càng tăng, thì khả năng bị sử dụng sai cũng tăng lên.

Kỹ thuật xã hội: Con người là sinh vật hòa đồng. Điều đó khiến chúng ta dễ bị thuyết phục. Chúng tôi muốn tin những câu chuyện chúng tôi được kể và người đang kể chúng. Đây là tại sao kỹ thuật xã hội hoạt động: việc những kẻ đe dọa sử dụng các kỹ thuật thuyết phục như áp lực thời gian và mạo danh để lừa nạn nhân thực hiện mệnh lệnh của chúng. Các ví dụ tốt nhất là Lừa đảo email, văn bản (còn gọi là smishing) và các cuộc gọi điện thoại (hay còn gọi là lừa đảo), nhưng nó cũng được sử dụng trong tấn công xâm nhập email doanh nghiệp (BEC) và các trò gian lận khác.

Nền kinh tế tội phạm mạng: Ngày nay, những kẻ đe dọa này có một mạng lưới ngầm phức tạp và tinh vi gồm các trang web tối mà thông qua đó mua bán dữ liệu và dịch vụ - mọi thứ từ lưu trữ chống đạn đến ransomware-as-a-service. Của nó được cho là trị giá hàng nghìn tỷ. Sự “chuyên nghiệp hóa” này của ngành công nghiệp tội phạm mạng đã tự nhiên khiến các tác nhân đe dọa tập trung nỗ lực vào nơi mà lợi tức đầu tư là cao nhất. Trong nhiều trường hợp, điều đó có nghĩa là nhắm mục tiêu đến chính người dùng: nhân viên công ty và người tiêu dùng.

Làm việc kết hợp: Nhân viên tại nhà là được cho là có nhiều khả năng nhấp vào các liên kết lừa đảo và tham gia vào các hành vi nguy hiểm như sử dụng thiết bị làm việc cho mục đích cá nhân. Do đó, sự xuất hiện của một kỷ nguyên mới kết hợp làm việc đã mở ra cánh cửa cho những kẻ tấn công nhắm mục tiêu vào người dùng doanh nghiệp khi họ dễ bị tấn công nhất. Đó là chưa kể đến thực tế là mạng gia đình và máy tính có thể được bảo vệ kém hơn so với các mạng tương đương tại văn phòng của chúng.

Tại sao đào tạo lại quan trọng?

Cuối cùng, một vi phạm bảo mật nghiêm trọng, cho dù là do tấn công của bên thứ ba hoặc do vô tình tiết lộ dữ liệu, có thể dẫn đến thiệt hại lớn về tài chính và danh tiếng. Một nghiên cứu gần đây được tiết lộ kết quả là 20% doanh nghiệp bị vi phạm như vậy gần như phá sản. Nghiên cứu riêng biệt tuyên bố chi phí trung bình của một vụ vi phạm dữ liệu trên toàn cầu hiện cao hơn bao giờ hết: hơn 4.2 triệu đô la Mỹ.

Nó không chỉ là một tính toán chi phí cho người sử dụng lao động. Nhiều quy định như HIPAA, PCI DSS và Sarbanes-Oxley (SOX) yêu cầu các tổ chức tuân thủ phải chạy các chương trình đào tạo nâng cao nhận thức về bảo mật cho nhân viên.

Làm thế nào để các chương trình nâng cao nhận thức hoạt động

Chúng tôi đã giải thích "tại sao", nhưng còn "cách" thì sao? Các CISO nên bắt đầu bằng cách tham khảo ý kiến ​​của các nhóm nhân sự, những người thường dẫn dắt các chương trình đào tạo của công ty. Họ có thể cung cấp lời khuyên đột xuất hoặc hỗ trợ phối hợp hơn.

Trong số các lĩnh vực cần đề cập có thể là:

• Kỹ thuật xã hội và lừa đảo / lừa đảo / đánh bóng
• Tình cờ tiết lộ qua email
• Bảo vệ web (tìm kiếm và sử dụng Wi-Fi công cộng một cách an toàn)
• Các phương pháp hay nhất về mật khẩu và xác thực đa yếu tố
• Từ xa an toàn và làm việc tại nhà
• Cách phát hiện các mối đe dọa từ nội gián

Trên tất cả, hãy nhớ rằng các bài học phải là:

• Vui vẻ và đánh bạc (nghĩ rằng sự củng cố tích cực hơn là những thông điệp dựa trên nỗi sợ hãi)
• Dựa trên các bài tập mô phỏng trong thế giới thực
• Chạy liên tục trong năm với các bài học ngắn (10-15 phút)
• Bao gồm mọi nhân viên bao gồm giám đốc điều hành, người bán thời gian và nhà thầu
• Có thể tạo ra kết quả có thể được sử dụng để điều chỉnh các chương trình cho phù hợp với nhu cầu cá nhân
• Được điều chỉnh để phù hợp với các vai trò khác nhau

Khi tất cả điều này đã được quyết định, điều quan trọng là phải tìm được nhà cung cấp đào tạo phù hợp. Tin tốt là có rất nhiều lựa chọn trực tuyến với nhiều mức giá khác nhau, bao gồm cả các công cụ miễn phí. Với bối cảnh mối đe dọa ngày nay, không hành động không phải là một lựa chọn.