Este din nou momentul pentru Cybersecurity Awareness Month (CSAM - Luna conștientizării securității cibernetice). Aceasta este o inițiativă de creștere a gradului de conștientizare care acoperă atât lumea consumatorilor, cât și lumea corporativă, deși există o mulțime de suprapuneri, fiecare angajat fiind la rândul lui și un consumator. De fapt, pe măsură ce lucrăm din ce în ce mai mult de la distanță, fie de acasă, fie dintr-un alt loc preferat, limitele de departajare nu au fost niciodată atât de neclare. Din păcate, în același timp, riscurile de compromis nu au fost niciodată atât de acute.

Construirea unei lumi cibernetice mai sigure începe aici. Deci, ce ar trebui să includă directorii IT în programele lor de conștientizare a securității acum, dar și în 2024? Este important să vă asigurați că vă adaptați la amenințările cibernetice de astăzi și de mâine, nu la riscurile de altădată.

De ce sunt importante sesiunile de training

Potrivit Verizon, trei sferturi (74%) din toate încălcările globale din ultimul an includ „elementul uman”, care în multe cazuri a însemnat eroare, neglijență sau utilizatorii care au căzut victime ale phishingului și ingineriei sociale. Programele de instruire și conștientizare în materie de securitate sunt o modalitate esențială de a atenua aceste riscuri. Dar nu există o cale rapidă și ușoară către succes. De fapt, ceea ce ar trebui să implementați nu ține doar de training sau de conștientizare, ci mai degrabă de schimbarea comportamentelor utilizatorilor pe termen lung.

Acest lucru se poate întâmpla numai dacă rulați programe în mod continuu, pentru a păstra sesiunile de instruire de actualitate în permanență. Și asigurați-vă că toată lumea participă, de la interni, la antreprenori și directori de nivel înalt. Oricine ar putea fi o țintă și este suficientă o singură greșeală minoră pentru un incident major. 

De asemenea, desfășurați trainingul în module mai mici, pentru a avea șanse mai mari ca informațiile să fie reținute. Acolo unde este posibil, includeți exerciții de simulare sau de gamificare pentru a aduce o anumită amenințare la viață, fiind mai ușor de transmis mesajul.

După cum am menționat anterior, lecțiile pot fi chiar personalizate pentru roluri și sectoare specifice, pentru a le face mai relevante pentru fiecare individ. Iar tehnicile de gamificare pot fi un instrument util pentru a face învățarea mai antrenantă.

3 subiecte pentru training de inclus acum și în 2024

Pe măsură ce ne apropiem de sfârșitul anului 2023, merită să ne gândim la ce să includem în programele de training pentru anul viitor. Luați în considerare următoarele:

1) BEC și phishing

Frauda de tip Business Email Compromise (BEC), care folosește mesaje de phishing direcționate, rămâne una dintre categoriile de infracțiuni cibernetice cu cele mai mari venituri generate. În cazurile raportate la FBI anul trecut, victimele au pierdut peste 2,7 miliarde de dolari. Aceasta este o infracțiune bazată în mod fundamental pe ingineria socială, de obicei prin păcălirea victimei să aprobe un transfer de fonduri corporative într-un cont aflat sub controlul escrocului.

Există diverse metode prin care se realizează acest lucru, cum ar fi uzurparea identității unui CEO sau a unui furnizor, iar acestea pot fi prevenite cu succes prin exerciții de conștientizare a metodelor de phishing. Acestea ar trebui combinate cu investiții în securitate avansată a e-mailului, procese de plată robuste și verificarea suplimentară a oricăror solicitări de plată.

Phishing-ul ca atare există de zeci de ani și este încă unul dintre cei mai buni vectori pentru a iniția accesul fraudulos în rețelele corporative. Dar, în multe cazuri, tacticile se schimbă, la fel și exercițiile de conștientizare a phishingului. Aici simulările în direct pot ajuta cu adevărat la schimbarea comportamentului utilizatorilor. Pentru 2024, luați în considerare includerea conținutului despre phishing prin aplicații de text sau de mesagerie (smishing), apeluri vocale (vishing) și noi tehnici precum bypassul pentru autentificarea multifactorială (MFA).

Tacticile specifice de inginerie socială se schimbă extrem de frecvent, așa că este o idee bună să vă asociați cu un furnizor de cursuri de formare care să își poată actualiza conținutul în consecință.

2) Securitate pentru lucrul la distanță sau în mod hibrid

Experții au avertizat de mult că angajații sunt mai susceptibili să ignore îndrumările/politica de securitate sau pur și simplu să le uite atunci când lucrează de acasă. Un studiu a constatat că 80% dintre angajații care lucrează de acasă au recunoscut că, în anumite circumstanțe, de exemplu zilele de vineri sau lunile de vară, sunt mai relaxați și mai distrași. Acest lucru îi poate expune unui risc crescut de compromis, mai ales atunci când rețelele și dispozitivele de acasă pot fi mai puțin bine protejate decât echivalentele corporative. Și aici ar trebui să intervină programele de instruire cu sfaturi privind conștientizarea riscului de phishing, actualizările de securitate pentru laptopuri, gestionarea parolelor și utilizarea pentru lucru doar a dispozitivelor aprobate de corporații.

Articole similare:

• Stilul de muncă hibrid: ce implicații are pentru securitatea cibernetică?
• Protejarea scenariului de lucru hibrid prin adoptarea securității Zero Trust
• De ce securitatea cloud este esențială pentru a profita cât mai mult de valoarea adusă de modul de lucru hibrid?
• Scurtă analiză a amenințărilor la adresa securității dispozitivelor în sistemul de muncă hibrid

Mai mult, lucrul hibrid a devenit norma pentru multe afaceri astăzi. Un studiu susține că 53% au acum o astfel de politică, iar cifra va crește cu siguranță. Cu toate acestea, naveta la birou sau lucrul dintr-o locație publică au riscurile sale. Unul dintre riscuri îl reprezintă amenințările legate de hotspot-uri Wi-Fi publice care ar putea expune angajații și dispozitivele de serviciu la atacuri de tip AitM (adversary-in-the-middle), în care hackerii accesează o rețea și compromit datele care circulă între dispozitivele conectate și router, și la amenințări de tip „evil twin”, unde criminalii au duplicat un hotspot Wi-Fi malițios care apare drept unul legitim într-o anumită locație.

3) Protecția datelor

Amenzile GDPR au crescut cu 168% anual, la peste 2,9 miliarde de euro (3,1 miliarde de dolari) în 2022, deoarece autoritățile de reglementare au reprimat neconformitatea. Acest lucru reprezintă un argument destul de puternic pentru organizații pentru a se asigura că personalul lor respectă corect politicile de protecție a datelor.

Instruirea regulată este una dintre cele mai bune modalități de a menține în minte cele mai bune practici de manipulare a datelor. Aceasta presupune utilizarea unei criptări puternice, o bună gestionare a parolelor, păstrarea dispozitivelor în siguranță și raportarea imediată a oricăror incidente persoanei de contact relevante.

Personalul poate beneficia, de asemenea, de o actualizare în utilizarea copiei carbon oarbe (BCC), o greșeală comună care duce la scurgeri neintenționate de date prin e-mail și alte module de instruiri tehnice. Un alt aspect de luat în seamă este atragerea atenției angajaților asupra confidențialității postărilor pe rețelele sociale.

Deși cursurile de formare și conștientizare sunt o parte critică a oricărei strategii de securitate, acestea nu aduc rezultate dacă lucrează izolat. Organizațiile trebuie, de asemenea, să aibă politici de securitate bine puse la punct, bazate pe controale și instrumente puternice, cum ar fi gestionarea dispozitivelor mobile. „Oameni, procese și tehnologie” este mantra care va ajuta la construirea unei culturi cibernetice corporative mai sigure.