Consapevolezza della sicurezza informatica per i dipendenti: suggerimenti e best practice
La più grande tragedia con il progresso scientifico e tecnologico è che avanza a un ritmo molto più veloce di quanto non faccia la saggezza collettiva della società. Questo è quanto diceva in sostanza Isaac Asimov qualche decennio fa commentando il rapporto tra scienza e società.
Avanti veloce fino ad oggi, Internet è diventato una componente essenziale di praticamente ogni aspetto della vita moderna, dalla sfera personale a quella professionale. Nonostante la nostra crescente dipendenza da Internet, è sorprendente che la consapevolezza della sicurezza informatica rimanga in gran parte ignorata.
A livello personale, un individuo potrebbe essere scusato per non avere alcuna comprensione delle buone pratiche di sicurezza informatica. Ma a livello aziendale, la negligenza delle aziende e il rifiuto di promuovere la consapevolezza della cybersecurity tra i dipendenti è a dir poco stupefacente.
Secondo un rapporto pubblicato da Chubb, solo il 31% dei dipendenti intervistati ha riferito di aver ricevuto istruzione e formazione sulla sicurezza informatica a livello aziendale.
Poiché la pandemia di covid-19 aumenta la necessità di connettività online per la maggior parte delle aziende, l'aumento del rischio di violazioni della sicurezza è troppo alto per essere preso alla leggera. Pertanto, questo è un momento critico per le imprese. Se l'importanza della formazione e della sensibilizzazione alla sicurezza informatica continua a essere minimizzata, le aziende subiranno il peso maggiore degli attacchi digitali. In un'economia instabile, ciò potrebbe avere conseguenze devastanti.
Il mio obiettivo nello scrivere questo articolo era di svolgere un piccolo ruolo nel promuovere un senso di urgenza sulla necessità per le aziende di investire nella formazione sulla sicurezza informatica dei propri dipendenti. Piuttosto che costruire argomenti a favore della mia tesi, come è il mio solito stile quando scrivo articoli su tali questioni, ho invece deciso di invitare professionisti della sicurezza e condividere le loro opinioni su questa questione urgente ma spesso ignorata dei nostri tempi.
Quelle che seguono sono le citazioni di vari sono i pensieri di vari professionisti del settore a cui sono debitore per aver condiviso le loro intuizioni con noi.
Perché la formazione sulla sicurezza informatica è importante (secondo gli esperti)
Nancy Sabino — CEO e co-fondatrice di SabinoCompTech
I dipendenti saranno la prima linea di difesa nella lotta alla minaccia alla sicurezza informatica. Se non sono a conoscenza di quali sono le minacce, come notarle e cosa fare al riguardo, diventano un rischio piuttosto che una fonte di prevenzione. Quando si valuta il rischio nella propria organizzazione, avere dipendenti informati e consapevoli di ciò che stanno cercando e di come reagire rapidamente se dovesse accadere qualcosa sposterebbe notevolmente il quadrante per ridurre il rischio. Stabilire la prevenzione è sempre meglio piuttosto che affrontare la riparazione che può rivelarsi estremamente costosa e dispendiosa in termini di tempo.
Personalmente, seguo la formazione continua che la mia azienda fornisce per continuare ad affinare le mie capacità e stare al passo con le nuove tendenze man mano che si presentano. Lo offriamo anche a tutti i nostri clienti in modo che possano anche aiutarci ad essere proattivi. Ne è valsa assolutamente la pena perché la sola consapevolezza ha ridotto il numero di clic che si verificano nelle e-mail, nonché la quantità di dati inseriti nelle e-mail di phishing, ecc.
John Svazic – Fondatore e Consulente Principale presso EliteSec
Che ti piaccia o no, i dipendenti rimangono il vettore n. 1 per i malintenzionati quando vogliono ottenere l'accesso alla tua azienda. Attraverso le solite e-mail di phishing al "vishing" (voice phishing), sfruttano la buona indole di un dipendente per ottenere l'accesso ai dati, alle finanze o ai segreti commerciali di un'organizzazione.
Ho seguito e impartito corsi di cybersecurity per molti anni e posso dire che è indispensabile se fatto correttamente. Non limitarti a fornire ai tuoi utenti finali un video di 30 minuti o un modulo di formazione basato su computer: fornisci loro esempi di cosa può accadere se si innamorano di una di queste e-mail. Qual è l'effetto a valle? Cosa può succedere all'individuo? Questo è molto più utile del semplice dire ai dipendenti: "Non fare clic sui collegamenti o scaricare allegati da e-mail sospette".
Steven Weisman – Esperto di sicurezza informatica e professore alla Bentley University
Le aziende sono sicure solo quanto i loro dipendenti praticano il minor numero di pratiche di sicurezza informatica. Gli attacchi informatici come il ransomware, le violazioni dei dati e il furto di importanti proprietà intellettuali, nonché la compromissione dell'e-mail aziendale possono avere effetti devastanti sulle aziende. Sono un esperto di sicurezza informatica e professore alla Bentley University, dove insegno White Collar Crime. Scrivo anche il blog Scamicide dove ogni giorno fornisco informazioni aggiornate sugli ultimi sviluppi della sicurezza informatica.
In Bentley la sicurezza informatica è una priorità e la formazione, in particolare per riconoscere le e-mail di spear phishing e praticare importanti nozioni di base sulla sicurezza informatica, come non fare clic sui collegamenti a meno che non siano stati confermati come legittimi, viene continuamente sottolineata. Quando tale addestramento viene svolto in modo non giudicante e utile, è molto efficace.
Andy Sauer – Esperto di sicurezza informatica presso Steel Root
La consapevolezza della sicurezza informatica è importante per i dipendenti in un contesto organizzativo perché il COVID-19 ha cambiato completamente il panorama, rendendo la sicurezza informatica una minaccia aziendale molto più grande che mai. Ciò è dovuto al notevole aumento delle persone che fanno telelavoro; che porta ai seguenti fattori:
- Cambiamenti comportamentali: lavorando fuori sede, i dipendenti tendono ad essere più rilassati e ad abbassare la guardia, forse anche a rispondere alle e-mail progettate per fornire l'accesso ai dati agli hacker. Inoltre, con l'aumento dei livelli di stress, il personale potrebbe essere più incline a essere reattivo e meno strategico nelle proprie azioni.
- Cambiamenti situazionali: lavorare in luoghi disparati, le istruzioni di sicurezza e le regole di accesso possono fallire. Ciò può comportare una supervisione meno rigorosa delle transazioni e di altri flussi di lavoro chiave.
- Cambiamenti tecnologici: improvvisamente le aziende sono costrette ad estendere i loro firewall oltre i confini fisici del loro ufficio. È possibile accedere ai sistemi aziendali da un'ampia gamma di dispositivi, anche personali. Questi cambiamenti possono portare a compromessi, espansione dei dati e altre sfide.
Chris Silbaugh – Vicepresidente dello sviluppo aziendale presso CyberKnights
Sono stato coinvolto nella partecipazione alla formazione sulla sicurezza informatica oltre a fornire la formazione e la parte più importante dell'appello al pubblico è aiutarli a comprendere gli impatti negativi come la perdita o il furto di informazioni personali, informazioni relative all'attività e sanzioni legali che si traducono in una perdita finanziaria. Aiuta le persone a capire prima le conseguenze in modo che si prendano il tempo necessario per imparare a prevenire che si verifichino tali conseguenze
Steven M. Solomon – Vicepresidente di SecurIT360
La consapevolezza della sicurezza informatica riduce il rischio di un incidente di sicurezza ad alto impatto che può danneggiare l'azienda. In base alla mia esperienza, fornire istruzione sulla sicurezza e formazione sulla sensibilizzazione è un'attività preziosa che è vista da molti leader aziendali come un'elusione dei costi. Ricorda formalmente ai dipendenti che ci sono importanti politiche e procedure di sicurezza da considerare durante l'esecuzione del lavoro e definisce le conseguenze del mancato rispetto di una buona igiene informatica. Con la prevalenza delle minacce e gli alti costi degli incidenti di sicurezza, i dipendenti dovrebbero essere vigili nelle loro attività quotidiane.
Cindy Murphy – Presidente di Digital Forensics presso Tetra Defense
I programmi di sensibilizzazione e le iniziative di formazione sulla sicurezza dei dipendenti sono di fondamentale importanza per la protezione dei dati sensibili in possesso delle organizzazioni. Sono un sostenitore della formazione sulla sicurezza informatica in modo che i dipendenti siano impostati per riconoscere le attività dannose. Ad esempio, i truffatori utilizzano ancora prevalentemente la posta elettronica per ingannare le loro vittime. La novità di quest'epoca è la messaggistica fraudolenta all'interno delle email: il CDC chiede donazioni in Bitcoin. I tuoi documenti di sgravio fiscale COVID-19 sono disponibili su questo sito (falso). Un medico dell'Organizzazione Mondiale della Sanità ha "consigli sui farmaci" se fai clic qui. Questo è il peggio di ingegneria sociale e, sfortunatamente, è più probabile che funzioni in questi tempi incerti.
Le persone non sono diventate più credulone negli ultimi tre mesi e mezzo; si sono abituati a grandi cambiamenti in piccoli messaggi. Quando il titolo della prossima notizia potrebbe essere una questione di sicurezza o malattia, è molto più facile credere alle informazioni che appaiono direttamente nella tua casella di posta.
Mark Soto – CEO di Cybericus
Uno dei motivi principali per cui la consapevolezza della sicurezza informatica è importante per i dipendenti è dovuto al fatto che la stragrande maggioranza delle violazioni dei dati (varia tra il 60 e l'80% a seconda della fonte) è dovuta a errori interni dei dipendenti e quasi (30%-40% stesso motivo sopra) delle violazioni dei dati è dovuto a dipendenti interni malintenzionati. I tuoi dipendenti devono essere consapevoli delle basi della sicurezza informatica, dei pericoli informatici all'esterno dell'azienda e all'interno di essa. Di solito lavoriamo con le aziende una volta che sono state attaccate, ma considereremmo sicuramente utile la formazione sulla sicurezza informatica.
Puoi spendere milioni di dollari per il miglior software di sicurezza informatica altamente avanzato per la tua azienda, ma se i tuoi dipendenti non sono abbastanza informati sulle migliori pratiche stai solo sprecando i tuoi soldi. C'è solo così tanto software che può fare per prevenire attacchi dovuti a errori umani e se il tuo dipendente non sa perché non dovrebbe collegare chiavette USB casuali al proprio computer o non fare clic su collegamenti e-mail casuali da indirizzi e-mail loschi, allora tu sono destinati ad essere hackerati, indipendentemente dal tipo di software o tecnologia che stai utilizzando.
Marty Puranik – Presidente e CEO di Atlantic.net
Una tendenza importante che ora stiamo vedendo che in realtà non esisteva anni fa è la formazione sulla sicurezza informatica dei dipendenti. Questo dovrebbe far parte della tua cultura aziendale, e più è diffuso nella tua azienda, più persone ci acquisteranno. Prova a coinvolgere il tuo CIO o responsabile IT durante il processo di inserimento per far capire ai nuovi dipendenti l'importanza della sicurezza nel loro nuovo posto di lavoro. Per i dipendenti di lunga data, assicurati che il tuo messaggio venga trasmesso attraverso i loro team leader. Cerca di stare lontano da lunghe e-mail e promemoria che molti dipendenti sfogliano le prime due frasi prima di eliminare.
Prova invece a creare dei video, o magari appendi delle infografiche nelle aree principali dell'ufficio, come la sala relax, vicino alla fontanella e persino in bagno. Anche se i tuoi dipendenti non sono così interessati alla sicurezza, la lettura ripetuta di frasi e azioni in forma visiva li aiuterà a ricordare detti messaggi quando accade qualcosa di anomalo online.
Nick Santora – CEO di Curricula
Secondo vari rapporti, c'è stato un aumento del 500% degli attacchi informatici dall'epidemia di Coronavirus. Hacker e cattivi attori stanno approfittando di questo periodo sfortunato che stiamo attraversando tutti. Abbiamo assistito a così tanti attacchi di phishing rivolti ai dipendenti che ora fanno parte di una massiccia forza lavoro remota e la mancanza di formazione sulla sicurezza informatica è evidente.
La strategia di sicurezza informatica n. 1 più efficace consiste nel formare i dipendenti a tutti i livelli dell'azienda su cosa cercare in un'e-mail sospetta, in una potenziale truffa di phishing o persino in un attacco ransomware.
Dott. Al Marcella – CISAM, CISA, Presidente, Consulenti in Business Automation
Dicevamo che "la conoscenza è potere", tuttavia, nel nostro mondo globalmente connesso, sempre attivo, 24 ore su 24, 7 giorni su 7, dipendente dalle informazioni, i dati sono una merce: i dati hanno valore. Non è più la conoscenza che genera potere ma, oggi, “l'informazione è potere". Un dipendente che non agisce in modo responsabile per proteggere e proteggere il patrimonio di informazioni dell'organizzazione, mette invariabilmente l'organizzazione a rischio… dal punto di vista finanziario, competitivo, legale.
Mi occupo di formazione sulla sicurezza informatica da oltre 35 anni. La formazione che fa riflettere un dipendente prima che faccia clic su un'e-mail esterna, fornisca informazioni a un chiamante, apra un collegamento Web, scansiona un codice QRC o intraprenda qualsiasi azione che potrebbe mettere a rischio se stesso o la sua organizzazione, è positivo, ricettivo, formazione tempestiva e proattiva.
La sicurezza informatica non è solo per il personale IT/tecnico
Ho notato che molte volte, le discussioni sulla formazione sulla sicurezza informatica tendono a presumere che sia solo il personale tecnico che deve essere esperto nelle migliori pratiche di sicurezza. Ma questo ignora il fatto che anche se le persone responsabili della progettazione delle reti di un'azienda svolgono un lavoro accurato per ridurre al minimo i rischi, tutto ciò che serve è una persona in un'azienda che fa clic sul collegamento sbagliato per annullare tutto ciò.
È necessario eliminare questa idea e rendere la consapevolezza della sicurezza informatica un programma all-inclusive. Ecco cosa hanno da dire alcuni esperti su questo problema:
Dr. Tom Keenan – Professore all'Università di Calgary
Anche gli addetti alla reception hanno bisogno di formazione e consapevolezza sulla sicurezza informatica!
Non dimenticherò mai la "Social Engineering Challenge" al DEF CON alcuni anni fa, dove l'obiettivo era quello di estrarre informazioni dai concessionari di automobili, presumibilmente perché sarebbero stati descritti come un falso "Rivenditore del mese".
Gli addetti alla reception hanno rinunciato a cose come "quale versione di Windows utilizza la tua azienda?", "Qual è il nome e l'e-mail del tuo Chief Financial Officer?" e persino "In che giorno vengono raccolti i rifiuti?", tutti utili per hacker e ladri di identità .
Quindi, quando vado in un'azienda per fare un corso di sensibilizzazione alla sicurezza informatica, di solito faccio una bella chiacchierata con l'addetto alla reception e posso quindi raccontare al CIO e al CEO ogni tipo di cose interessanti sulla loro azienda. Funziona ogni volta!
Gabe Turner – Esperto di sicurezza informatica presso Security.org
Credo che la formazione dovrebbe essere incentrata su qualsiasi tipo di dipendente che utilizza dispositivi elettronici per scopi aziendali, soprattutto se utilizza Internet. Mentre il personale IT sarà ovviamente coinvolto in caso di violazione dei dati, la formazione dei dipendenti stessi è una misura preventiva rispetto a una misura reattiva, in quanto riduce in primo luogo la possibilità per l'azienda di avere una violazione dei dati.
Ilia Sotnikov – Vicepresidente della gestione dei prodotti di Netwrix
Sessioni di formazione regolari per tutti i team, dal personale IT a quelli non IT, aiuteranno il tuo personale a capire meglio come dovrebbe reagire alle attività degli hacker. Ad esempio, se includi informazioni sul phishing e sulle truffe più recenti, è possibile che i lavoratori non facciano clic su collegamenti sospetti nelle e-mail e inviino questi messaggi al team IT.
Inoltre, queste sessioni di formazione aiuteranno i dipendenti a tutti i livelli e di tutti i reparti a comprendere che sono personalmente responsabili della posizione di sicurezza dell'organizzazione, il che potrebbe aiutarli a essere più vigili. Ciò potrebbe non eliminare completamente il rischio di violazione dei dati, ma avrai sicuramente una migliore cultura del posto di lavoro e i tuoi dati e sistemi saranno più protetti.
Darren Deslatte – Leader delle operazioni di vulnerabilità presso Entrust Solutions
Il programma di formazione sulla sicurezza informatica della tua azienda dovrebbe comprendere assolutamente tutti i dipendenti. Quasi il 90% degli attacchi informatici è causato da errori umani o negligenza. Uno dei modi migliori per battere queste probabilità è assicurarsi che tutti nella tua organizzazione comprendano la propria responsabilità nel mantenere la tua azienda protetta informatica, dal CEO al contraente remoto.
Argomenti chiave da includere in un programma di formazione sulla sicurezza informatica
Affinché un piano di sicurezza informatica sia efficace, il programma di formazione dovrebbe essere adeguatamente progettato per includere argomenti che contribuiscono efficacemente alla consapevolezza dei dipendenti senza farli sentire sopraffatti. Questo è il consenso generale degli esperti che hanno espresso le loro opinioni su questo argomento:
Chris Silbaugh – Vicepresidente dello sviluppo aziendale presso CyberKnights
Ci sono una varietà di argomenti di sicurezza informatica su cui i dipendenti dovrebbero essere formati e in definitiva dovrebbe dipendere dalla posizione in cui si trova il dipendente. Ad esempio, il personale del reparto tecnico/IT dovrebbe affrontare un percorso più rigoroso data la natura in cui è incaricato di responsabilità primaria della gestione della rete di aziende in qualche forma o forma.
I dipendenti che sono più utenti medi della rete aziendale dovrebbero avere un'altra forma di formazione che si concentra su un approccio più semplice alla gestione della sicurezza del dominio. Infine, la formazione non dovrebbe essere in formati lunghi che consentano al dipendente di perdere rapidamente l'attenzione. La formazione dovrebbe essere condotta frequentemente, ma di durata inferiore. Il culmine di un anno di formazione si rivelerà un processo migliore piuttosto che un paio d'ore dedicate alla volta.
Nick Santora – CEO di Curricula
Alcuni argomenti chiave della formazione sulla consapevolezza della sicurezza informatica sarebbero:
1 Phishing: la maggior parte degli attacchi informatici contro un'organizzazione avverrà tramite il phishing tramite e-mail. I dipendenti devono capire come identificare un attacco di phishing e difendersi dal non fare clic su collegamenti sospetti in un'e-mail.
2 Protezione con password: i dipendenti dovrebbero capire come creare password complesse, ad esempio non utilizzare password facili da indovinare come "1234". Dovrebbero anche comprendere il rischio di riutilizzo delle password tra account personali e aziendali, come utilizzare un password manager ("vault") e scopri perché le password sono così importanti per proteggere i loro account online.
3 Sicurezza delle informazioni – "InfoSec" riguarda la protezione delle risorse di informazioni digitali dell'organizzazione. I dipendenti devono comprendere che l'accesso alle informazioni è un privilegio e l'accesso "necessario sapere" dovrebbe essere praticato in ogni momento. La condivisione di dati sensibili all'esterno dell'organizzazione deve essere presa molto sul serio ei dipendenti dovrebbero conoscere la politica dell'organizzazione per la protezione delle informazioni.
4 Ransomware – Il ransomware è un software dannoso che crittografa i dati su un computer fino a quando non viene pagata una somma di denaro all'hacker ed è una delle minacce più popolari che prendono di mira le aziende di tutto il mondo. Se il riscatto non viene pagato, il tuo computer e tutti i suoi dati sono irrecuperabili. Il modo migliore per difendersi dal ransomware è prevenire che accada in primo luogo.
Dott. Al Marcella – CISAM, CISA, Presidente, Consulenti in Business Automation
I dati sono una risorsa e hanno valore per l'azienda. I dipendenti devono essere formati per considerare i dati una risorsa aziendale critica che deve essere protetta.
Cyber-rischio. Chi sono gli attori delle minacce che cercano di ottenere l'accesso non autorizzato alle risorse di dati critici dell'azienda? Quali sono le vulnerabilità all'interno dell'azienda di cui un attore di minacce potrebbe trarre vantaggio? Qual è la possibilità che l'attore della minaccia sfrutti la vulnerabilità? Qual è l'impatto (finanziario, legale, reputazionale) per l'organizzazione, se ciò dovesse verificarsi? Qual è il ruolo di ciascun dipendente nella mitigazione di questi rischi informatici?
Sicurezza di rete. I dipendenti devono connettersi a Internet e alle reti aziendali solo tramite un servizio di rete privata virtuale, mantenendo così privati gli scambi dei dipendenti.
Crittografia. Educare i dipendenti all'implementazione e all'utilizzo coerente di protocolli di crittografia avanzati per proteggere le risorse di dati digitali critiche dell'organizzazione.
Dirottamenti informatici. Formazione coerente e informazioni aggiornate su truffe sempre più sofisticate, attacchi di phishing, espedienti di ingegneria sociale, e-mail fasulle e siti Web allettanti… tutti progettati per indurre un dipendente a divulgare, fare clic, agire o rispondere a informazioni fittizie, artificiose e ingannevoli.
David Shrier – Direttore del programma di Oxford Cyber Futures dell'Università di Oxford in collaborazione con Mastercard
I dipendenti devono essere formati su un nucleo di igiene informatica e avere una maggiore consapevolezza di questioni più ampie come la sicurezza e la privacy dei dati e l'etica informatica, che creano rischi e aprono opportunità per le imprese. Oxford Cyber Futures, ad esempio, crea prima una solida base informatica, quindi si estende all'identità digitale, all'IA predittiva, all'open banking e ad altre aree di crescita.
Affinché un'azienda possa collaborare in modo efficace sul cyber, è necessario creare capacità informatiche in tutte le aree funzionali dell'organizzazione, non solo nel personale IT. Molto spesso, il cyber è reso impenetrabile o spaventoso in termini di modo in cui viene insegnato, quindi nel nostro programma con Oxford abbiamo cercato di demistificare la complessità e aiutare i professionisti aziendali a comprendere il potenziale di impatto tangibile su entrate e profitti.
Heinrich Long – Esperto di privacy presso Restore Privacy
Quando si tratta di formazione sulla sicurezza informatica per i dipendenti, consiglio vivamente di utilizzare un fornitore di formazione professionale di terze parti. Se non riesci a trovare una soluzione adatta per la tua azienda, è importante trattare i seguenti argomenti:
1) Identificare le potenziali minacce online e i rischi per la tua azienda.
2) I processi e gli strumenti necessari per prevenire le violazioni dei dati, inclusa la gestione dei documenti, la password e l'igiene della sicurezza.
3) Uso sicuro di Internet e come identificare i collegamenti sospetti.
4) Uso sicuro della posta elettronica e come evitare il phishing.
5) Uso responsabile dei social media.
6) Salvaguardare l'hardware aziendale come laptop, desktop e dispositivi palmari.
È importante consentire alla tua forza lavoro di identificare le minacce informatiche comuni e fornire loro gli strumenti per prevenire le violazioni dei dati
Promuovere una cultura della consapevolezza della sicurezza informatica e delle migliori pratiche
Andrew Ryan – Fondatore e Direttore CEO di Newtec Services
In Newtec Services, consideriamo il software antivirus o antimalware il primo passo per le aziende che desiderano proteggere i propri dati. I gestori devono inoltre adottare le seguenti precauzioni:
- Assicurati che tutto il loro software sia aggiornato. Consigliamo ai nostri clienti la sicurezza basata su cloud.
- Implementa la sicurezza end-to-end. Ciò significa assicurarsi che tutti i dati, inclusi messaggi, video, ecc., siano completamente crittografati.
- Formare i dipendenti per stare al passo con requisiti di sicurezza più severi. Vai oltre le politiche di sicurezza interna e forma i dipendenti su una sicurezza approfondita specifica per il ruolo di ciascun lavoratore.
Lo stack tecnologico di base del lavoratore remoto deve includere queste cose per aumentare la sicurezza:
- Sicurezza degli endpoint
- Rete privata virtuale
- Sicurezza mobile
Steve Tcherchian – Responsabile della sicurezza delle informazioni presso XYPRO ,
Affinché un programma di sicurezza informatica abbia successo, i seguenti sono componenti chiave
- Supporto dall'alto verso il basso. Se l'iniziativa non è importante e supportata ai livelli più alti dell'organizzazione, è destinata a fallire. La consapevolezza della cybersecurity non è più solo “un problema informatico”. È un rischio aziendale e deve essere trattato in questo modo.
- Coinvolgi i tuoi dipendenti. Dare loro la proprietà del processo. Rendili parte della soluzione. I dipendenti sono sempre più coinvolti e supportano l'iniziativa se sentono di avere la pelle in gioco.
- Gamify il processo. Rendilo divertente. Tutti amano la competizione e un processo salutare per ludicizzare l'esperienza ti garantirà la partecipazione della maggior parte delle persone, anche degli oppositori.
David B. Rounds – CEO di NetEffect
La consapevolezza della sicurezza informatica è un argomento importante in questi giorni. Come vi assicurate che i vostri dipendenti siano informati sul cyberspazio? Parte dall'alto ed è proprio come qualsiasi altra politica o processo di cui dispone un'azienda. Ci dovrebbe essere una consapevolezza e concentrarsi sulla sicurezza a livello esecutivo. Le preoccupazioni dovrebbero essere articolate in conversazioni con tutto il personale fino al dipendente più elementare utilizzando solo i sistemi per la posta elettronica o l'accesso a un'applicazione aziendale. Questa è la base di tutta la cultura aziendale.
Devi anche avere un programma di formazione. Che si tratti di qualcosa consegnato internamente da dipendenti esperti o risorse umane, o meglio ancora, le aziende possono trovare un programma di sensibilizzazione alla sicurezza informatica. Ce ne sono molti la fuori. Alcuni sono economici come pochi dollari al mese per utente. Questi programmi possono includere cose come "Micro-Training" brevi di 2-5 minuti, tentativi di phishing e-mail simulati e persino il monitoraggio della consapevolezza della sicurezza informatica dei dipendenti e il monitoraggio del riconoscimento delle politiche aziendali per qualsiasi politica aziendale.
Può essere anche divertente! Alcuni dei sistemi mostrano punteggi di sicurezza anonimi in cui i dipendenti possono competere per vedere chi è il più alto.
Chloé Messdaghi – Vice Presidente Strategia di Point3 Security
Il phishing alle proprie aziende è una buona pratica. Credo fermamente nell'assicurarmi che le persone sappiano cos'è il phishing e come tenerlo d'occhio. Chiedi a qualcuno di fare un test di phishing. Ci sono aziende che puoi assumere per aiutare in questo e aiutare a implementare un programma di formazione e sensibilizzazione sulla sicurezza informatica. Suggerirei di fare phishing alla tua squadra durante tutto l'anno e di fare in modo che i tuoi compagni di squadra facciano la stessa cosa, ad esempio creare una persona falsa; account di posta elettronica che è sotto il nome del tuo capo (con il permesso ovviamente!) e invia e-mail ai membri del team dicendo che stanno facendo un ottimo lavoro ed ecco una carta regalo Amazon, basta fare clic sul collegamento (collegamento non dannoso ma qualcosa che tiene traccia se il link è stato utilizzato)…
Molte persone pensano che l'implementazione delle pratiche di sicurezza richieda molto lavoro. Il fatto è che se un utente malintenzionato riesce a raggiungere solo uno dei tuoi dipendenti, può avere accesso alle tue operazioni e alle informazioni riservate, quindi la quantità di lavoro che potrebbe essere coinvolta vale la pena per evitare una potenziale catastrofe. Assicurati che i tuoi dipendenti lo capiscano al meglio. Conduci test di phishing come un gioco, coinvolgi i dipendenti "giocando" rafforzando allo stesso tempo l'importanza di essere consapevoli e rimanere al sicuro non solo come individuo, ma come una parte potenzialmente vulnerabile dell'azienda nel suo insieme.
Terminando
Se non sei sopraffatto da tutti i consigli e le intuizioni degli esperti di cui sopra, ecco una breve dichiarazione di suggerimenti che ogni dipendente e organizzazione dovrebbe seguire nell'interesse delle buone pratiche di sicurezza informatica:
Paul Howard – Coordinatore investigativo dello sviluppo aziendale dello Smith Training Center e dell'Agenzia investigativa Smith
Mantieni la tua scrivania pulita; non utilizzare il tuo dispositivo personale per lavoro; gestire i tuoi dati; utilizzare soluzioni di archiviazione esterne; praticare abitudini Internet sicure; sii molto cauto con la tua password; limitare quanto condividi sui siti dei social network ed essere consapevole delle loro vulnerabilità; attenzione alle truffe via e-mail; essere consapevoli di cos'è il malware; e infine, chiedi sempre il consiglio di un esperto da un professionista IT se metti in dubbio qualcosa che sembra fuori luogo.