Нарушения являются постоянной проблемой, с которой организации сталкиваются на ежедневной основе.
Пока риск несет в себе уровень неопределенности, предотвратить его сложно.
Но есть разница между принятием этого факта и бездействием и принятием этого факта и использованием всех разумных усилий для смягчения нарушений.
Одна из мер, наблюдаемых на практике, которую организации не предпринимают, заключается в обучении персонала кибербезопасности.
Вот лишь некоторые из причин, почему усилия в обучении персонала требуют большего внимания.
Социальная инженерия
Кибербезопасность выходит за рамки ИТ-команды, так как персонал также играет важную роль.
Как взлом организации, хакеры обычно используют их как векторы атак.
Это особенно очевидно, когда мы смотрим на первый этап цепочки кибератак.
Требуется сбор информации о цели.
Здесь они используют уязвимые места для получения необходимой информации для осуществления предполагаемых атак.
Хакеры используют социальную инженерию как одну из тактик, и она является наиболее распространенной, поскольку они могут легко ее использовать.
Они знают об отсутствии подготовки, которая существует среди персонала в целом, а иногда это просто нацеливание на одного человека.
Сотрудники должны быть осведомлены о социальной инженерии, потому что все вместе они составляют больше, чем Правление и команда ИТ.
Кроме того, фишинговые электронные письма все еще находятся на подъеме, прогрессируя каждый раз и не демонстрируя никаких признаков замедления в ближайшее время.
Персонал нуждается в обучении, чтобы не быть мишенью для СИ.
Человеческая ошибка, ведущая к нарушениям
В последних статьях упоминаются существенные недостатки в организациях.
Как показывает недавняя статья «Лаборатории Касперского», это по-прежнему является одной из самых серьезных причин нарушений, и с ней плохо справляются.
Организации не учатся на ошибках других организаций, о которых сообщалось публично.
Один из них был сотрудником полиции Глостершира, чей сотрудник случайно отправил по электронной почте личные данные жертв жестокого обращения с детьми непреднамеренным получателям.
Это самая важная причина, почему обучение так важно.
Ошибки могут возникать не только при отправке электронных писем неправильным получателям, но и при использовании взломанных съемных носителей, потере мобильных устройств, содержащих бизнес-данные, и плохом управлении безопасностью на этих устройствах.
Другие преимущества
Обучение персонала должно быть частью киберкультуры организации, чтобы помочь поддерживать безопасность.
Преимущества реализации тренинга позволят следующее:
Персонал будет знать, какой важной информацией можно поделиться и с кем.
Чем больше у сотрудников знаний, тем больше они понимают и позволяют сотрудникам применять их в своей повседневной деятельности. Кибербезопасность требует коллективных усилий, а также персонала, который индивидуально берет на себя ответственность за свои действия при работе с данными.
Пример с программным обеспечением и приложениями.
Департаменты, как правило, загружают и используют инструменты, которые помогут в повседневных задачах, о которых ИТ не знают.
Это известно как теневые ИТ.
Если ИТ-команда не знает, что программное обеспечение существует, группе трудно поддерживать безопасность в организации.
Если сотрудники узнают о необходимости обеспечения безопасности и об опасностях, связанных с потенциальными расширениями и приложениями, они будут знать, когда следует поддерживать связь с ИТ-командой и другими соответствующими сотрудниками.
3 важных фактора, которые следует учитывать при реализации программ обучения
- Проведите обучение для персонала со стадии «Индукция» и поддерживайте его на протяжении всего жизненного цикла.
- Есть онлайн-зона общего пользования, которая позволяет сотрудникам продолжать заниматься этой темой. Они также могут поделиться знаниями и передовым опытом. Крайне важно, чтобы кто-то вел это, чтобы сохранить импульс обсуждения. Организация может дополнительно проводить семинары, где это необходимо, если это возможно, и при наличии ресурсов для этого.
- ИТ или штатное лицо, ответственное за ИТ, должны сами пройти соответствующее обучение, чтобы руководить обеспечением безопасности и быть контактным лицом для запросов персонала. ИТ-персонал также должен знать об общих угрозах и их разработках, чтобы обеспечить организацию соответствующей технической и сетевой безопасностью.
