Усилия против знаний: осведомленность пользователей о безопасности

Усилия против знаний: осведомленность пользователей о безопасности

Увы, но утверждение, что большинство сегодняшних сотрудников состоит из цифровых туземцев, не является надуманным. К сожалению, это так.

Самой большой ошибкой, по-прежнему, в большинстве событий безопасности, является человек. Кибер-мошенники продолжают запускать кампании социальной инженерии, чтобы скомпрометировать бизнеса.

В конце концов, все сотрудники делают ошибки; от нажатия на вредоносные вложения электронной почты от незнакомых людей до оставления своих ноутбуков в такси или электричке. По мере того, как бизнес развивается на различных этапах цифровой трансформации, злоумышленники всегда имеют возможность максимизировать свои усилия за счет дорогостоящих ошибок.

Как правило, организации ведут борьбу с этой старой проблемой в виде программ повышения осведомленности о безопасности. Несмотря на то, что в сообществе ведутся долгие споры, намекающие на неэффективность такого подхода, нельзя отрицать, что только он может помочь.

Исследования показали, что запуск программ непрерывного обучения снижает вероятность фишинга, что в конечном счете положительно влияет на организационные киберриски. То есть создание программы повышения осведомленности безопасности является эффективным и рекомендуется, однако есть области, на которых необходимо сосредоточиться дополнительно.

Хотя пользователи слишком доверяют своим устройствам, все же они не забывают о рисках, связанным с онлайн-активностью. Каждый сотрудник может изменить ситуацию самостоятельно, изменив свои привычки. Но захочет ли? Рабочий компьютер должен использоваться для работы, а не для доступа к сомнительным сайтам и просмотра Facebook. Ведь все мы всегда находится в одном клике от того, чтобы злоумышленник получил доступ к нашей системе.

Для достижения идеальной осведомленности пользователей, есть три основные области, сосредоточившись на которых вы получите максимальную отдачу от вложения денег в программу осведомленности пользователей.

  1. Ознакомьте сотрудников с политиками безопасности вашей организации

Если вы спросите любого сотрудника, знаком ли он с политиками безопасности компании, чаще всего вы либо увидите удивленные глаза, либо вам просто кивнут, не поднимая глаз. В 9 из 10 раз вы получите ответ «нет». Несмотря на то, что корпоративная политика предназначена для защиты сотрудников и бизнеса, правда состоит в том, что чаще всего это воспринимается как цензура. Таким образом важно просвещать сотрудников о том, почему политика требует так, а не иначе.

  • Обеспечить тщательную подготовку

Несмотря на то, что в вопросах обучения важно быть творческим и уклоняться от скучных подходов, все же вы должны воплотить уровень полноты вашего обучения. НО! Большинство упражнений по вопросам осведомленности безопасности фактически носут только беглый материал.

Возьмем, к примеру, фишинговые упражнения. Вместо того, чтобы обучать сотрудников не нажимать на подозрительные ссылки (что важно), сделать еще один шаг вперед, научив их идентифицировать фишинг-шаблон. Как этому обучить?

Пример 1: Случайная электронная почта попадает в почтовый ящик сотрудников с просьбой выполнять административные задачи на веб-сайте, который они никогда не посещали раньше.

Пример 2: Сторонний веб-сайт запрашивает их учетные данные вместо использования проверки подлинности SSO, обычно запрашиваемый компанией.

Пример 3: Затем веб-сайт предлагает скачать свой «безопасный» клиент вместо того, чтобы использовать веб-портал.

Такой подход позволит сотрудникам оценить электронную почту и принять меры. В этом случае, даже если адрес электронной почты кажется законным, сотрудник все равно может успешно идентифицировать фишинг-атаку.

3.Создать универсальные примеры кибер-угроз

Многие сотрудники уже знают об угрозах фишинга, но знакомы ли они с другими тактиками нападения? Правда состоит в том, что, скорее всего, нет. В то время как многие программы повышения осведомленности о безопасности, как правило, фокусируют свои упражнения на смоделированных фишинговых атаках, субъекты угрозы также могут воспользоваться своими социальными сетями, слабыми паролями, отключенными элементами управления безопасностью.

Это означает, что организация безопасности должна создать универсальные программы обучения безопасности.

Но группы безопасности не смогут поделиться этой ценной информацией с сотрудниками, если они не получают к ней доступ самостоятельно.

Получите доступ к данным, проанализируйте информацию и поймите, какие знания об организации атак и векторах угроз вы можете привить своим сотрудникам.

Обеспечение комплексного обучения в развлекательном формате, который охватывает векторы угроз в вашем бизнесе будет иметь большое значение в вашей борьбе против цифровых противников. Сочетание хорошего мониторинга, адекватного обнаружения угроз и осведомленности пользователей является рецептом успеха в сегодняшнем климате киберугроз.

Alt text

Владимир Безмалый

О безопасности и не только