В результате эволюционирующего ландшафта угроз в сочетании с постоянным освещением новостей о глобальных нарушениях, кибербезопасность стала приоритетом для многих организаций во всем мире.
Поверхность атаки и потенциальные эксплойты в любой организации выросли по экспоненте с ростом удаленной работы, ростом использования облачных технологих, BYOD и мобильных технологий.
Тем не менее киберпреступники продолжают успешно использовать фишинг-атаки, заставляя конечных пользователей предоставить частные данные.
В отчете «Cybersecurity Threat Insights Report » подчеркивается, что фишинг-атаки составляют 38% от исходного вектора доступа во всех случаях реагирования на инциденты Secureworks в период с 2015 по 2017 год.
Фишинг специально ориентирован на человеческий фактор, используя доверчивых жертв, чтобы побудить их нажать на вредоносные ссылки или вложений.
Чтобы смягчить риск нарушения, организации должны принять изменения в корпоративной культуре, которые определяют приоритетность кибербезопасности, ставят ее на всеобщее обозрение и обеспечивают обучение и ресурсы, которые подталкивают людей к этой практике.
Вот как ваша организация может защитить от злоумышленников, которые могут ориентироваться на ваших сотрудников.
Связать рекомендации с сотрудником
У ваших сотрудников, скорее всего, есть обширный список дел на каждый день, и они сосредоточены на том, чтобы выполнить список приоритетных задач.
Это может стать проблемой для безопасников в том, чтобы убедить сотрудников уделять первоочередное внимание кибербезопасности, например, использовать диспетчер паролей или двухфакторную аутентификацию,и это может показаться утомительным и ненужным.
Тем не менее, мы знаем, что наличие у сотрудников практики привычек соблюдения безопасности может стать огромным преимуществом для защиты организации, поэтому покажите им, почему эти методы настолько важны в тем моментах, где они соотносятся с их собственными личными интерессами.
Научите своих сотрудников тому, что активация двухфакторной аутентификации для учетных записей социальных сетей может снизить риск того, что кто-то взломает их аккаунт.
Если они поймут, почему это как важно для них самих, это возможно поможет им понять, почему это столь же важно и для организации.
Сделать рекомендации релевантными
В то время как NotPetya и WannaCry были великими историями в мире кибербезопасности, и среди тех отраслей, которые больше всего пострадали, правда заключается в том, что большинство незатронутых людей редко меняют свое поведение, когда речь идет о безопасности, основанной на таких событиях.
Если вы хотите, чтобы ваши сотрудники были частью культуры безопасности компании, сделайте ее релевантной для них.
Банковское мошенничество и подобные онлайн-атаки могут повлиять на организацию, но эта тактика может напрямую влиять на ваших сотрудников.
Каким бы ни был подход к обучению, ваши сотрудники должны быть заинтересованы и чувствовать себя облеченными в предотвращении потенциальных воздействий, чтобы переварить то, с чем вы с ними делитесь.
Сделать это простым
Вне вашего ИБ-отдела большинство ваших сотрудников мало знают о вредоносном ПО, рэтс, ханипотс и т. д.
Придерживайтесь азов и убедитесь, что ваши рекомендации легко усваиваются, тем самым у вас больше шансов добраться до них.
Помогите им понять их роль
Часто среди нетехнических сотрудников возникает неправильное представление о том, что кибербезопасность и защита организации – это чья-то ответственность.
Они могут не полностью понимать риски и, следовательно, считать, что предотвращение угроз лежит вне их ролей.
Помогая людям понять, как они вписываются в культуру сайберсекьюрити и как их повседневная работа может влиять на стратегию безопасности организации, дает им право собственности и дает им возможность снизить риски.
Сделать это веселым
Сколько встреч проводят люди за день?
Сколько из этих встреч можно было бы адресовать по электронной почте?
Люди на деле только тогда уделяют вам пристальное внимание, если они сами заинтересованы.
Если вы хотите, чтобы кто-то был заинтересован, привнесите в это веселья.
Вы будете привлекать больше сотрудников, занимаясь непосредственно ими, а не повторяя жаргон кибербезопасности и обучая обреченности и страху.
Награда за хорошее поведение
Кибербезопасность может быть наполнена страхом, неопределенностью и сомнениями.
Наказание людей за неправильное поведение неэффективно.
Вы можете прочитать некоторые исследования, проведенные психологом Б. Ф. Скиннером, но, чтобы обобщить его обширные исследования, положительное поощрение работает более эффективно, чем наказание в обучении.
Поэтому, когда вы видите, что люди делают неправильные действия, сообщайте им, почему это так важно, и когда вы увидите улучшения в поведении, вознаграждайте их.
Поддерживайте статус «Live»
Самое главное помнить, что построение культуры вокруг кибербезопасности никогда не бывает одноразовым.
Мы все должны оставаться настойчивыми и создавать постоянные ресурсы и обучение, которые наилучшим образом учитывают лучшие практики.
Выделяйте подсказки в регулярных информационных бюллетенях, размещайте рекламные плакаты вокруг офиса, уделяйте время на безопасность на встречах компании и разрабатывайте программы по защите.
Это всего лишь несколько способов,с которыми вы можете предотвратить исчезновение культуры в фоновом режиме.
Кибербезопасность – это общая ответственность
Создание культурных изменений может показаться ошеломляющим, но усилия, необходимые для снижения риска, сравниваются с тем, какие могут быть последствия.
Как и я, мои друзья и девушка любят проводить время в Интернете, используя социальные сети для общения с друзьями и удобства интернет-магазинов.
Когда я начал работать в индустрии кибербезопасности, я вернулся домой и поделился некоторыми из лучших практик, которые я получил в своей новой области, и старался избегать технических эпитетов и многого другого, чтобы этим опытом могли воспользоваться и они.
События, которые мы обсуждали, были релевантными и актуальными для наших повседневных онлайн-привычек.
Я все еще обмениваюсь статьями и документами, когда я прихожу домой, и теперь я практикую сильную личную профилактику безопасности, включая двухфакторную аутентификацию, криптографию и обновления патчей без задержки.
Это стало неотъемлемой частью моей жизни, потому что, как и при любом образовании в сфере корпоративной безопасности, сохранение принципов киберзащиты в топе сознания помогает защитить нас и наши данные.
