Training-ul de conștientizare asupra securității cibernetice: cum poate ajuta?


Oferiți-le angajaților dvs. cunoștințele necesare pentru a putea identifica semnele de avertizare ale unui atac cibernetic și pentru a înțelege când există riscul de a pune în pericol datele sensibile

O zicală veche în domeniul securității cibernetice spune că oamenii sunt veriga cea mai slabă a lanțului de securitate. Acest lucru este din ce în ce mai adevărat, pe măsură ce actorii amenințărilor concurează pentru a exploata angajați creduli sau neglijenți. Dar este posibil și să transformăm această verigă slabă într-o formidabilă primă linie de apărare. Cheia pentru acest lucru este lansarea unui program eficient de instruire în domeniul securității.

Cercetările arată că 82% dintre încălcările de date ce au fost analizate în 2021 au implicat un „element uman”. Este un fapt inevitabil al amenințărilor cibernetice moderne că angajații reprezintă o țintă de top pentru aceste atacuri. Însă dacă le oferiți angajaților cunoștințele necesare pentru a identifica semnele de avertizare ale unui atac și pentru a înțelege când pot pune în pericol datele sensibile, puteți avea astfel o oportunitate uriașă de a avansa în eforturile dvs. de atenuare a riscurilor.

Ce este training-ul de conștientizare asupra securității?

Training-ul de conștientizare nu este poate cea mai bună denumire pentru ceea ce liderii din domeniul IT și cel de securitate doresc să obțină prin programele lor. În realitate, scopul este de a schimba comportamentele printr-o mai bună educație despre unde se află principalele riscuri cibernetice și ce bune practici simple pot fi învățate pentru a le atenua. Este un proces formalizat care ar trebui să acopere în mod ideal o gamă largă de domenii tematice și tehnici pentru a oferi angajaților puterea să ia deciziile corecte. Ca atare, poate fi privit ca un pilon de bază pentru organizațiile care doresc să creeze o cultură corporativă de securitate prin design.

De ce este necesar training-ul de conștientizare asupra securității?

Orice fel de program de formare este menit să sporească abilitățile individului pentru a-l face un angajat mai bun. În acest caz, îmbunătățirea gradului de conștientizare a securității nu numai că îl va ajuta pe individ pe măsură ce navighează în diferite roluri, dar va reduce riscul unei eventuale încălcări a securității ce poate fi dăunătoare pentru business.

Adevărul este că utilizatorii corporativi stau în centrul oricărei organizații. Dacă aceștia pot fi piratați, atunci la fel de bine poate fi și organizația. În mod similar, accesul pe care aceștia îl au la datele sensibile și la sistemele IT crește riscul producerii unor accidente care ar putea avea, de asemenea, un impact negativ asupra companiei.

Mai multe tendințe evidențiază nevoia urgentă pentru astfel de programe de formare de conștientizare asupra securității:

Parole: parolele statice există de când există și sistemele informatice. Și, în ciuda cererilor repetate pe care le-au făcut experții în securitate de-a lungul anilor, acestea rămân încă cea mai populară metodă de autentificare a utilizatorilor. Motivul este simplu: oamenii știu să le folosească instinctiv. Provocarea este că aceste parole statice sunt în același timp și o țintă uriașă pentru hackeri. Dacă un angajat este păcălit să le predea sau dacă aceste parole pot fi ghicite, de multe ori, nimic altceva nu va mai sta în calea accesului complet la rețea.

Peste jumătate dintre angajații americani și-au scris parolele pe pix și hârtie, conform unei estimări. Practicile proaste pentru gestionarea parolelor oferă însă o oportunitate hackerilor. Și pe măsură ce crește numărul de acreditări pe care angajații trebuie să le țină minte, la fel crește și probabilitatea utilizării greșite ale acestora.

Ingineria socială: ființele umane sunt creaturi sociabile. Asta ne face susceptibili la persuasiune. Vrem să credem poveștile care ni se spun și persoana care le spune. Acesta este motivul pentru care ingineria socială funcționează: utilizarea de către actorii amenințărilor a tehnicilor persuasive, cum ar fi presiunea timpului și furtul identității, pentru a păcăli victima să-și îndeplinească licitația. Cel mai bun exemplu este un e-mail de phishing, un text (alias smishing) sau un apel telefonic (alias vishing), dar acesta este folosit și în atacurile de compromitere a e-mailurilor de afaceri (BEC) și în alte escrocherii.

Economia criminalității cibernetice: în prezent acești actori de amenințări au o rețea subterană complexă și sofisticată de site-uri web întunecate prin intermediul cărora pot să cumpere și să vândă date și servicii – totul de la găzduire antiglonț până la ransomware-as-a-service, care se spune că valorează trilioane. Această „profesionalizare” a industriei criminalității cibernetice i-a determinat în mod natural pe actorii amenințărilor să-și concentreze eforturile acolo unde rentabilitatea investiției este cea mai mare. În multe cazuri, asta înseamnă vizarea directă a utilizatorilor: angajații corporativi și consumatorii.

Modul de lucru hibrid: se crede că lucrătorii la domiciliu au mai multe șanse să facă click pe link-uri de phishing și să se implice în comportamente riscante, cum ar fi utilizarea dispozitivelor de lucru pentru uz personal. Ca atare, apariția unei noi ere a muncii hibride a creat o oportunitate pentru atacatori și vizează utilizatorii corporativi atunci când sunt cel mai vulnerabili. Asta ca să nu mai vorbim de faptul că rețelele de acasă și computerele pot fi mai puțin bine protejate decât echivalentele lor de birou.

De ce contează un astfel de training?

În cele din urmă, o încălcare gravă a securității, indiferent dacă rezultă dintr-un atac al unei terțe părți sau dintr-o dezvăluire accidentală a datelor, ar putea duce la daune financiare și reputaționale majore. Un studiu recent a relevat că 20% dintre companiile care au suferit o astfel de încălcare aproape au intrat în faliment. O cercetare separată susține despre costul mediu al unei breșe de date la nivel global că este acum mai mare ca niciodată: peste 4,2 milioane USD.

Nu este doar un calcul al costurilor pentru angajatori. Multe reglementări, cum ar fi HIPAA, PCI DSS și Sarbanes-Oxley (SOX), impun organizațiilor care se conformează să desfășoare programe de formare pentru conștientizarea securității angajaților.

Cum să faceți să funcționeze programele de conștientizare

Am explicat „de ce”, dar acum să vedem „cum”? Cei în rolul de CISO ar trebui să înceapă prin a se consulta cu echipele de HR, care în mod normal conduc programe de formare corporativă. Aceștia sunt cei care pot oferi sfaturi ad-hoc sau sprijin mai coordonat.

Printre domeniile de acoperit ar putea fi:

  •       Inginerie socială și phishing/vishing/smishing
  •       Dezvăluire accidentală prin e-mail
  •       Protecție web (căutare și utilizare în siguranță a rețelei Wi-Fi publice)
  •       Cele mai bune practici privind parola și autentificarea cu mai mulți factori
  •       Lucru sigur de la distanță și acasă
  •       Cum să depistați amenințările din interior

Mai presus de toate, rețineți că lecțiile ar trebui să fie:

  •       Distractive și gamificate (gândiți-vă mai degrabă la încurajări decât la mesaje bazate pe frică)
  •       Bazate pe exerciții de simulare din lumea reală
  •       Desfășurate continuu pe tot parcursul anului, în lecții scurte (10-15 minute)
  •       Adaptate fiecărui membru al personalului, inclusiv directorilor, celor cu normă parțială și contractorilor
  •       Capabile să genereze rezultate care pot fi utilizate pentru a ajusta programele în funcție de nevoile individuale
  •       Adaptate pentru a se potrivi diferitelor roluri

Odată ce toate acestea sunt decise, este important să găsiți furnizorul de training potrivit. Vestea bună este că există o mulțime de opțiuni online la o gamă variată de preț, inclusiv instrumente gratuite. Având în vedere peisajul amenințărilor de astăzi, inacțiunea nu este o opțiune.

 

CITEȘTE ȘI:

Five ways to strengthen employee cybersecurity awareness

Cybersecurity training still neglected by many employers 

Phil Muncaster June 7, 2022

Lasa un comentariu