Kako dobiti osoblje da ozbiljno shvati cybersecurity

S tehnologijom koja se sve više isprepliće sa svim aspektima poslovanja, CNET @ Work vam može pomoći - kupcima u malim poduzećima s manje od pet zaposlenika - započeti s radom.


Zdrav razum samo ide tako daleko i morate se pobrinuti da najbolje prakse u svezi sigurnosti ne idu u jedno uho i van iz drugog. Evo plana napada.

Kada je u pitanju cybersecurity, softverska tvrtka AutoClerk osigurava da njezinih 25 zaposlenika zna da su na prvoj liniji nečega sličnog bitki života i smrti.

"Ako nisu svjesni cybersecuritya prije nego što ih zaposlimo, učinit ćemo ih svjesnima", rekla je Charlotte Gibb, suvlasnica tvrtke Walnut Creek iz Kalifornije koja isporučuje softver hotelijerstvu i ugostiteljstvu. "Naši klijenti su često meta cyber napada i stoga moramo biti vrlo oprezni u vezi s tim kako bi to moglo utjecati na naše klijente. Sajber sigurnost vrlo ozbiljno shvaćamo."

Ona bi trebala. Cyber-kriminalci su posebno usmjereni na mala poduzeća. Oko 18 posto kampanja phishinga usmjerilo se na mala poduzeća u 2011 .; od tada je taj broj skočio na više od 43 posto od ukupnog broja, a phishing je sada glavno sredstvo za isporuku napada na zlonamjerne i zlonamjerne programe.

Prijetnje nisu ograničene na phishing e-poštu. Većina kršenja sigurnosti proizlazi iz nemarnih odluka zaposlenika. Kiber kriminalci pokušat će se infiltrirati u organizaciju koristeći taktiku socijalnog inženjeringa kako bi stekli povjerenje zaposlenika. Ili možda napuste zaražene USB flash pogone, nadajući se da će ih netko pokupiti i uključiti u svoje računalo. Jedan novi popularni zanos je kompromis poslovne e-pošte u kojem prevaranti ciljaju zaposlenike koji imaju pristup financijama tvrtke kako bi ih prevarili da šalju transfere na lažne bankovne račune.

Svi mogu iskaliti pustoš. Oko 60 posto malih poduzetnika ne može održati svoje poslovanje više od šest mjeseci nakon što su pretrpjeli cyber napad, navodi US National Cyber ​​Security Alliance.

Vraćanje prijetnje ovisi o tome da se zaposlenici uvjere u praksu o onome što uče o cyber sigurnosti. Čak i tada, još uvijek nema jamstava da će zaposlenici učiniti pravu stvar.

- Osim ako niste voljni učiniti vaše radno mjesto neugodno i objesiti se na nečije rame, zapravo ne znate - reče Gibb. "U osnovi morate vjerovati svojim zaposlenicima. U nekom trenutku morate imati povjerenje kod ljudi koje ste zaposlili jer ih povjerite svojim klijentima i kritičnim informacijama."

Izrada poruke

To je popularna - i točna - kliše u sigurnosnoj industriji da zaposlenici predstavljaju prvu liniju obrane tvrtke od zlonamjernih ili kriminalnih aktivnosti. I zato je neophodno nastaviti propovijedati evanđelje dok najbolje prakse oko cyber sigurnosti ne postanu druga priroda za vaše ljude.

Obrazovanje je ključ za podučavanje zaposlenika zajedničkom osjećaju odgovornosti za podatke s kojima rade. Svaka kampanja bi trebala postati dio trajnog procesa. Dok neke male tvrtke mogu osjećati da im nedostaju resursi, postoje načini za usmjeravanje učinkovite edukacijske kampanje za cybersecurity bez razbijanja banke.

● Nemojte se odlučiti za taktiku zastrašivanja. Cilj je izgraditi kulturu cyber svijesti, tako da se svijest o sigurnosti tretira kao marketinška kampanja s namjerom da se uvjeri.

● Počnite s malim brojem videozapisa ili infografika da biste odbacili stvari. Uključite plakate, natječaje i druge podsjetnike kako biste odvezli dom lako razumljivom porukom: sigurnost je svačija osobna odgovornost.

● Ne gubite vrijeme šaljući duge bilješke koje će se ignorirati. Neka bude zabavno, kratko. Pokušavate educirati zaposlenike o najboljim praksama, ne prisiljavajući ih da jedu špinat. Kada se svatko može dobro nasmijati, može isto tako učiti u isto vrijeme.

● Promicati temu s tromjesečnim pratećim kampanjama koje ističu svjesnost o cyber sigurnosti. Pratite trening testiranjem koliko je lekcija naučena. Šaljite povremene lažne e-mailove kako biste provjerili koliko zaposlenika još uvijek ne prepoznaje prijetnju.

Promjena ponašanja zaposlenika može zvučati kao težak zadatak. Ali čak i ako ne možete eliminirati sve cyber napade protiv organizacije, još uvijek možete poticati uvjete koji pomažu smanjiti prijetnju. Ako se zaposlenici odmaknu od programa s ozbiljnijim poštovanjem temeljne kibernetičke sigurnosti, to je već napredak.

Mrkva i štapići

"Kršenje sigurnosti uništilo bi naš ugled i moglo bi bankrotirati tvrtki", kaže David Cox, izvršni direktor LiquidVPN-a, dobavljača VPN-a u Cheyenneu u Wyomingu.

To je otrežnjujući scenarij i zato on postavlja stalnu mješavinu mrkve i štapića kako bi zadržao svoje osoblje "na prstima". Na primjer, Cox povremeno ispušta uređaj za ubrizgavanje pritiska na tipku, prikriven kao USB pogon u hodniku, kupaonici ili predvorju. "Ako ga netko uključi u neku od naših radnih stanica, dobivam izvješće koje sadrži njihov korisnički račun i ID uređaja", rekao je.

On također ugovara uslugu treće strane koja je specijalizirana za lažni phishing i zlonamjerne napade. Ako netko propusti test ili ga pogodi pravi napad, oni se povuku u stranu i intervjuiraju kako bi shvatili zašto je to uspjelo.

"Pokušavamo pokazati što bi se moglo dogoditi ako ne shvate ozbiljno cybersecurity i ja nagrađujem zaposlenike koji su proaktivni", navodi Cox.

Istovremeno, ako zaposlenik učini nešto izuzetno ili na neki način demonstrira visok stupanj svjesnosti o situaciji, dobivaju se ulaznice za igru, večeru za dvoje ili Amazon poklon bon.

No, na kraju, ulozi su previsoki da bi siromašni učinci cybersecuritya mogli trajati neograničeno.

"Zaposlenicima pružamo adekvatnu obuku, a ako nisu u stanju pokazati kakvu situacijsku svijest zahtijeva naša industrija, ne bih imao izbora nego da ih pustim", rekao je. "To se još nije dogodilo. I iskreno se nadam da neće."

 

Ostavite Komentar