Обычно считается, что самые изощренные кибератаки представляют собой самую большую угрозу для бизнеса.
Однако на самом деле самой большой угрозой кибербезопасности для многих предприятий являются их собственные сотрудники. Фактически, четыре из пяти основных причин утечек данных вызваны человеческими или технологическими ошибками. Это включает потерю или кражу документов, отправку данных по электронной почте не тому получателю и небезопасные веб-страницы.
В постоянно меняющемся мире, ориентированном на цифровые технологии, где кибератаки становятся все более изощренными, следить за методами, используемыми киберпреступниками, и обеспечивать осведомленность сотрудников об опасностях стало серьезной проблемой.
В этом блоге мы перечислим три совета по обучению кибербезопасности для компаний, которые хотят ввести сотрудников в курс дела и, в свою очередь, обеспечить защиту деловой информации.
Обновите политики и процедуры кибербезопасности и обучите сотрудников
Сотрудники, которые не осведомлены о своих обязательствах по кибербезопасности, с большей вероятностью будут игнорировать соответствующие политики и процедуры, что может привести к непреднамеренному раскрытию данных или успешным кибератакам.
Основная проблема здесь заключается в том, что советы по обучению кибербезопасности для предприятий, а также политики и процедуры никогда не преподаются активно, не демонстрируются и не предоставляются в контексте. Вместо того, чтобы показывать, как эти политики и процедуры защищают бизнес в реальной жизни, сотрудникам вместо этого вручают руководство по кибербезопасности для бизнеса или лист советов и просят запомнить это, часто вместе с остальными правилами компании (рабочее время, праздничный протокол, дресс-код, льготы и т.д.) Во время инструктажа. Политики и процедуры часто могут быть сложными и сбивающими с толку, возможно, они не были обновлены должным образом или их трудно применять.
Принимая это во внимание, предприятиям необходимо тщательно пересмотреть свои политики и процедуры кибербезопасности, чтобы убедиться, что они не только просты для понимания и применения– но и актуальны. Например, если в организации существует культура BYOD и политики кибербезопасности не были обновлены с учетом этого, появятся бреши в системе безопасности.
Аналогичным образом, если в этих политиках нет информации, определяющей, как используются бизнес–устройства, т. е. Если устройства предназначены только для бизнеса, сотрудники, естественно, будут использовать их в личных целях и потенциально передадут важную бизнес-информацию киберпреступникам.
Последнее, что нужно делать компаниям, чтобы убедиться, что информационные сотрудники на высоте, — это регулярно проводить учебные курсы по кибербезопасности. Покажите сотрудникам, как эти политики и процедуры работают для защиты бизнеса, и побудите старших сотрудников отстаивать их и акцентировать внимание на них среди сотрудников. Это обеспечит развитие культуры кибербезопасности на всех уровнях бизнеса.
Подчеркните важность управления паролями
Согласно исследованию, проведенному OneLogin в 2017 году, менее трети лиц, принимающих решения в области ИТ, требуют от сотрудников ежемесячной смены паролей. Другой отчет OpenVPN показал, что 25% сотрудников признают, что используют один и тот же пароль для каждой корпоративной системы, к которой они получают доступ.
Очевидно, что управление паролями является серьезной проблемой для бизнеса, когда речь заходит о кибербезопасности. Поскольку сотрудники пренебрегают элементарным управлением паролями, а лица, принимающие решения в области ИТ, не напоминают об этом этим сотрудникам, необходимо кардинально изменить отношение, если компании хотят улучшить методы обеспечения кибербезопасности.
Компаниям необходимо более позитивно подходить к процессу управления паролями. Им следует не только внедрять более продвинутые инструменты управления паролями – многофакторную аутентификацию или даже аутентификацию PKI, – они также должны вознаграждать сотрудников, которые соблюдают процедуры ввода пароля, изложенные в их политиках кибербезопасности.
В то же время сотрудники также должны осознавать свою ответственность в процессе – и это начинается с того, что старшие менеджеры бизнеса и C-suite приуменьшают эту важность. На каждом этапе они должны беседовать с сотрудниками и объяснять бизнес-преимущества комплексной защиты паролем так, чтобы эти сотрудники могли понять. Предоставление реальных примеров, таких, например, как кража личных данных, может помочь привлечь сотрудников к работе.
Помогите сотрудникам разобраться в фишинге
Фишинг находится на подъеме, и киберпреступники справляются с ним все лучше и лучше. Недавно было подано более 2500 жалоб на поддельные электронные письма с лицензиями на телевидение, в то время как в университете США был взломан доступпосле того, как два студента попались на фишинговую уловку.
Киберпреступники осознали бесполезность нацеливания на другие векторы атак из-за сложности современных решений. Вместо того, чтобы атаковать программное обеспечение, киберпреступники преследуют отдельных людей и нацеливаются на конечные устройства, такие как мобильные телефоны и ноутбуки, чтобы получить доступ к более широкой сети предприятия.
Задача состоит в том, чтобы обучить сотрудников фишингу, чтобы они могли идентифицировать фишинговое электронное письмо – особенно если они используют конечное устройство, такое как мобильный телефон или ноутбук, – и сообщать об этом.
Исходя из этого, ИТ-отделы должны обучать сотрудников основам обнаружения фишинговых электронных писем; вот на что следует обратить внимание::
Эл. адрес
Киберпреступники владеют методами маскировки поддельных электронных писем и знают, как заставить жертв думать, что отправитель является законным. Предприятия должны иметь процесс или решение, позволяющее выявлять неизвестных отправителей и блокировать заведомо мошенническую электронную переписку. Если сотрудники обнаружат поддельный адрес электронной почты, они должны сообщить о нем своему ИТ-отделу, прежде чем продолжить.
Приветствие по электронной почте
Фишинговые электронные письма часто автоматизируются и не содержат личных приветствий. В этих электронных письмах используются общие термины, такие как “клиент”, “сотрудник” или “уважаемый сэр / мадам”, без указания имени получателя. Сотрудникам следует с осторожностью относиться к этим электронным письмам, особенно если они запрашивают личную информацию.
Грамматика и стиль
Многие фишинговые атаки происходят из других стран, поэтому такие электронные письма часто пишут люди, не являющиеся носителями английского языка. Эти электронные письма обычно содержат грамматические и стилистические ошибки. Если электронное письмо приходит от предположительно авторитетного бренда или компании, но содержит орфографические и грамматические ошибки, скорее всего, это мошенничество.
Пункт назначения ссылки
Прежде чем переходить по ссылкам в электронных письмах– сотрудники должны навести на них курсор, чтобы проверить назначение ссылки. Если URL веб-сайта выглядит подозрительно, отличается от предполагаемого бренда / компании отправителя – сотрудникам следует проявить осторожность и проверить его онлайн или отметить.
Призывы к действию
Электронные письма, требующие немедленных действий или ответа (и содержащие ряд проблем, упомянутых выше), скорее всего, являются мошенничеством. Эти электронные письма разработаны таким образом, чтобы напугать людей и заставить их принять меры и / или выдать конфиденциальную информацию.
Изображения и логотипы
Не доверяйте изображениям и логотипам. Их можно легко загрузить и воспроизвести. Киберпреступники могут вставлять в электронные письма любой визуальный контент, чтобы убедить жертв в том, что их электронные письма являются законными. Относитесь к ним с осторожностью.
Ознакомление сотрудников со всем вышеперечисленным поможет компаниям обеспечить безопасность сотрудников и их данных. Хорошее эмпирическое правило: если вы не уверены в законности электронного письма – отметьте его.
Регулярное обучение кибербезопасности и пересмотр политик и процедур помогут сформировать культуру кибербезопасности в бизнесе. По мере того, как сотрудники осознают важность ит, они будут следовать процессу во всем, что делают, и учить тому же новых сотрудников.