Киберпреступность – это, по сути, игра в кошки-мышки. Поскольку кибератаки становятся все более изощренными и широко распространенными, решения безопасности также должны обновляться и развиваться. Одна ошибка может дать злодеям преимущество, и слишком часто преимущество им дают не технологии, а сотрудники.
Согласно исследованию глобальной облачной безопасности 2023 года, человеческая ошибка остается основной причиной успешных взломов облаков. В отдельном отчете о расследовании утечек данных говорится, что 74% всех нарушений связаны с человеческим фактором.
Каждая компания, независимо от ее размера, является мишенью. Фактически, в том же отчете о расследовании утечек данных утверждается, что малые предприятия сталкиваются с большим количеством инцидентов, чем гораздо более крупные организации. Хорошей новостью является то, что компании улучшают свою безопасность, инвестируя в своих сотрудников посредством программы обучения безопасности бизнеса (SAT). Фактически, малый и средний бизнес (МСП) обеспечивает обучение почти на тех же уровнях, что и предприятия. Согласно глобальному исследованию программ-вымогателей, проведенному в 2023 году, 83% предприятий малого и среднего бизнеса и 96% предприятий требуют, чтобы сотрудники сдавали SAT.
Хотя ценность обучения хорошо известна, то, как мы работаем – и угрозы кибербезопасности, которые нас преследуют – превратились в изменчивый, постоянно работающий метод, который создает новый уровень когнитивных проблем для нас в нашей личной и профессиональной деятельности. жизни. Эти новые умственные проблемы не решаются эффективно с помощью обременительных и отнимающих много времени учебных занятий, которые формально проводятся ежеквартально или даже ежегодно. Продолжают появляться новые варианты угроз, используются новые уязвимости, а сотрудники выполняют больше задач, чем когда-либо прежде. И цикл продолжается. Чтобы иметь хоть какой-то шанс улучшить поведение в области кибербезопасности, учебные занятия по повышению осведомленности о кибербезопасности должны быть короче, более актуальными и более частыми.
И не забывайте об администраторах. Из-за ограниченности ресурсов и бюджетов поставщики управляемых услуг (MSP) часто обременяют своих администраторов задачами SAT, для которых они часто не подходят. Основные задачи SAT, такие как управление контентом и отчеты о кампаниях, являются специализированными, а не типичными обязанностями администратора. Таким образом, выполнение этих задач становится трудоемким и сложным для большинства администраторов, особенно если они назначаются в дополнение к другим обязанностям. Сведение этих административных расходов к минимуму является важным аспектом устойчивой программы SAT.
Примите во внимание эти пять советов, чтобы создать и поддерживать эффективную программу тренировок. Гай Гринбаум
Навигация по социальным ссылкам
Старший менеджер по продуктам OpenText Cybersecurity.
1. Используйте моделирование фишинга и микрообучение вместе
Фишинг остается наиболее распространенным типом атаки социальной инженерии, а уровень ее сложности остается удивительным. Фишинговые сообщения все чаще основаны на местных новостях или общедоступной информации о компании или сотруднике. И эти мошенничества не ограничиваются электронной почтой; Злоумышленники совершенствуют свои навыки и создают фальшивые голосовые сообщения с помощью генераторов голоса искусственного интеллекта.
Используя короткие курсы обучения и симуляции фишинга, учащиеся получают необходимые им знания, а также возможность попрактиковаться в реагировании на атаки. Выберите содержание курса, в котором представлены темы, которые в идеале занимают не более 10 минут. Объедините курс с симуляцией фишинга, которая представляет сценарий, соответствующий тому, что рассматривается в курсе. Цель состоит в том, чтобы держать в центре внимания соответствующие темы безопасности и побуждать сотрудников думать, прежде чем нажать кнопку, включая проверку конфиденциальных запросов и сообщать о любых подозрительных инцидентах. 2. Упростите управление паролями
Обеспечьте эффективную политику паролей, которую сотрудники знают и понимают. Большинство сотрудников, вероятно, знакомы с теорией создания надежных паролей: избегайте простых и угадываемых слов и цифр и создавайте уникальные сложные предложения для каждого посещаемого сайта. Однако проблема создания и последующего запоминания нескольких сложных паролей часто приводит к тому, что конечные пользователи прибегают к рискованным обходным путям — от повторного использования идентичного пароля до хранения физического списка учетных данных рядом с рабочей станцией.
Организации различаются, и ни одно решение не всегда является лучшим. Обучение по повышению осведомленности должно выходить за рамки предупреждений и предлагать передовые практические решения, соответствующие их конкретной культуре. Например, быстрое обучение созданию надежных, запоминающихся паролей с минимальными затратами времени и усилий может включать создание паролей с общими элементами, но настроенными с учетом определенных настроек (например, ABT2_uz_sAg! для «собираюсь использовать Sage») или использование клавиатуры в качестве холста для создавайте фигуры, а не печатайте слова. Добавьте забавные упражнения, которые стимулируют творческий подход сотрудников, повышают вовлеченность и делают надежные пароли менее сложными.
Некоторые организации указывают использование менеджеров паролей для безопасного хранения учетных данных для входа на несколько сайтов.. Независимо от конкретных инструментов или тактики, разумно подчеркнуть важность гигиены паролей и роль, которую играют сотрудники в качестве первой линии защиты компании от злоумышленников. 3. Укрепите лучшие практики удаленной работы.
В современной гибридной рабочей среде крайне важно, чтобы сотрудники понимали, как обеспечить безопасность своих устройств и информации, работая вне офиса. Удаленные устройства часто становятся первой целью киберпреступников. Хотя решения для защиты конечных точек, многофакторная аутентификация и виртуальные частные сети (VPN) помогают снизить риски удаленного доступа, они не являются надежными; особенно если лучшие практики не соблюдаются. Ведь когда сотрудников нет на рабочем месте, они легко могут стать расслабленными.
Риски и лучшие практики удаленной работы должны быть постоянной частью всех программ SAT. Помимо обязательного использования VPN для доступа к конфиденциальным корпоративным данным, также следует проводить аудит для подтверждения (и поощрения) соблюдения требований. Постоянное информирование об опасностях доступа к корпоративным данным через незащищенные сети, такие как общедоступный Wi-Fi, может гарантировать, что безопасность останется на первом месте. 4. Не забывайте о физической безопасности
В сегодняшнюю цифровую эпоху легко забыть основы физической безопасности: никогда не оставляйте ноутбуки и настольные компьютеры без присмотра. Все устройства должны иметь экранную заставку, которая автоматически блокируется, если их оставить без присмотра, и требует ввода пароля для предотвращения несанкционированного доступа.
Аналогичным образом, осведомленность о физической среде, особенно за пределами офиса, может предотвратить кражу информации или учетных данных. Например, «серфинг через плечо» — форма кражи данных, при которой преступники просто смотрят на близлежащие экраны, чтобы украсть учетные данные, — представляет собой вполне реальную угрозу для организаций.
И опять же, важно, чтобы сотрудники учитывали потенциальный риск, связанный с общественными точками доступа Wi-Fi. Это «удобства» высокого риска и зачастую небезопасные. Использование VPN — это простой способ оставаться в безопасности. 5. Увеличьте частоту тренировок.
Десятилетия опыта использования инструментов и методов цифрового обучения доказали, что короткие непрерывные занятия эффективны для изменения поведения в сфере безопасности. Данные показывают, что при продолжающихся сеансах рейтинг кликов по симуляциям фишинга падает с 37% до 13% всего за шесть месяцев – падение на 65%. Хотя каждая организация должна определить, что лучше всего подходит для ее целей и культуры, общепринятым стандартом эффективных программ SAT все чаще является проведение сеансов SAT на ежемесячной основе.
Уделяя постоянное внимание основам безопасности, можно лучше защитить бизнес и гарантировать, что сотрудники являются активом безопасности, а не угрозой безопасности. Мы выделили лучший VPN для бизнеса.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
