Świadomość cyberbezpieczeństwa dla pracowników: wskazówki i najlepsze praktyki

Największą tragedią postępu naukowego i technologicznego jest to, że postępuje on znacznie szybciej niż zbiorowa mądrość społeczeństwa. To właśnie powiedział Izaak Asimow kilkadziesiąt lat temu, komentując relacje między nauką a społeczeństwem.

Szybko do przodu, internet stał się niezbędnym elementem prawie każdego aspektu współczesnego życia, od sfery osobistej po zawodową. Mimo rosnącej zależności od Internetu zaskakujące jest to, że świadomość cyberbezpieczeństwa pozostaje w dużej mierze ignorowana.

Na poziomie osobistym dana osoba może być usprawiedliwiona brakiem zrozumienia dobrych praktyk w zakresie cyberbezpieczeństwa. Ale na poziomie korporacyjnym zaniedbania firm i odmowa promowania świadomości cyberbezpieczeństwa wśród pracowników są co najmniej oszałamiające.

Według raportu opublikowanego przez Chubb tylko 31% ankietowanych pracowników zgłosiło, że przeszło edukację i szkolenie w zakresie cyberbezpieczeństwa obejmujące całą firmę.

Ponieważ pandemia COVID-19 zwiększa zapotrzebowanie na łączność online dla większości firm, zwiększone ryzyko naruszeń bezpieczeństwa jest zbyt wysokie, aby można je było lekceważyć. Dlatego jest to krytyczny moment dla biznesu. Jeśli znaczenie szkolenia i świadomości w zakresie cyberbezpieczeństwa będzie nadal pomniejszane, firmy poniosą główny ciężar ataków cyfrowych. W niestabilnej gospodarce może to mieć katastrofalne skutki.

Moim celem podczas pisania tego artykułu było odegranie niewielkiej roli w promowaniu poczucia pilności w związku z koniecznością inwestowania przez firmy w szkolenia swoich pracowników w zakresie cyberbezpieczeństwa. Zamiast budować argumenty na rzecz mojej tezy, jak to w moim zwyczaju pisząc artykuły na takie tematy, zdecydowałem się zaprosić specjalistów ds. bezpieczeństwa i podzielić się ich spostrzeżeniami na temat tej palącej, ale często ignorowanej kwestii naszych czasów.

Poniżej znajdują się cytaty z różnych przemyśleń różnych profesjonalistów z branży, którym jestem wdzięczny za podzielenie się z nami swoimi spostrzeżeniami.

Dlaczego szkolenie w zakresie cyberbezpieczeństwa jest ważne (według ekspertów)

Nancy Sabino — CEO i współzałożycielka SabinoCompTech

Pracownicy będą pierwszą linią obrony w walce z zagrożeniem cyberbezpieczeństwa. Jeśli nie wiedzą, czym są zagrożenia, jak je zauważać i co z nimi zrobić, stają się raczej ryzykiem niż źródłem prewencji. Kiedy oceniasz ryzyko w swojej organizacji, posiadanie pracowników posiadających wiedzę i świadomość tego, czego szukają i jak szybko zareagować, gdyby coś się wydarzyło, znacznie przesunęłoby wskaźnik w kierunku obniżenia ryzyka. Najlepszym rozwiązaniem jest zapobieganie, a nie zajmowanie się rekultywacją, która może okazać się niezwykle kosztowna i czasochłonna.

Osobiście podejmuję ciągłe szkolenia, które zapewnia moja firma, aby stale doskonalić swoje umiejętności i nadążać za nowymi trendami, gdy się pojawiają. Oferujemy to również wszystkim naszym klientom, aby mogli również pomóc nam w proaktywności. Było to absolutnie tego warte, ponieważ sama świadomość spowodowała wzrost liczby kliknięć, które występują w wiadomościach e-mail, a także ilości danych wprowadzanych do wiadomości phishingowych itp.

John Svazic – założyciel i główny konsultant w EliteSec

Czy ci się to podoba, czy nie, pracownicy pozostają wektorem nr 1 dla złośliwych stron, które chcą uzyskać dostęp do Twojej firmy. Poprzez zwykłe wiadomości e-mail phishingowe do „vishingu" (phishing głosowy) będą żerować na dobrej woli pracownika, aby uzyskać dostęp do danych organizacji, finansów lub tajemnic handlowych.

Od wielu lat brałem udział w szkoleniu z zakresu cyberbezpieczeństwa i mogę powiedzieć, że jest on niezbędny, jeśli zostanie wykonany poprawnie. Nie podawaj swoim użytkownikom tylko 30-minutowego wideo lub modułu szkoleniowego na komputerze – podaj im przykłady tego, co może się stać, jeśli zakochają się w jednym z tych e-maili. Jaki jest efekt downstream? Co może się stać z jednostką? Jest to o wiele bardziej przydatne niż tylko mówienie pracownikom: „Nie klikaj linków ani nie pobieraj załączników z podejrzanych wiadomości e-mail”.

Steven Weisman – ekspert ds. cyberbezpieczeństwa i profesor na Uniwersytecie Bentley

Firmy są tak bezpieczne, jak ich pracownicy, którzy stosują najmniej praktyk w zakresie cyberbezpieczeństwa. Cyberataki, takie jak oprogramowanie ransomware, naruszenia danych i kradzież ważnej własności intelektualnej, a także włamanie do biznesowej poczty e-mail może mieć druzgocący wpływ na firmy. Jestem ekspertem ds. cyberbezpieczeństwa i profesorem na Uniwersytecie Bentley, gdzie uczę przestępczości białych kołnierzyków. Prowadzę również blog Scamiicide, na którym każdego dnia dostarczam na bieżąco aktualizowanych informacji o najnowszych osiągnięciach w dziedzinie cyberbezpieczeństwa.

W firmie Bentley bezpieczeństwo cybernetyczne jest priorytetem, a szkolenie, w szczególności w zakresie rozpoznawania wiadomości e-mail typu spear phishing i praktykowania ważnych podstaw cyberbezpieczeństwa, takich jak nieklikanie linków, o ile nie zostanie potwierdzone, że są one legalne, jest nieustannie podkreślane. Kiedy takie szkolenie odbywa się w sposób nieoceniający i pomocny, jest bardzo skuteczne.

Andy Sauer – ekspert ds. cyberbezpieczeństwa w Steel Root

Świadomość cyberbezpieczeństwa jest ważna dla pracowników w środowisku organizacyjnym, ponieważ COVID-19 całkowicie zmienił krajobraz, czyniąc cyberbezpieczeństwo znacznie większym zagrożeniem biznesowym niż kiedykolwiek wcześniej. Wynika to ze znacznego wzrostu liczby osób telepracujących; co prowadzi do następujących czynników:

• Zmiany behawioralne: Pracując poza siedzibą firmy, pracownicy są bardziej zrelaksowani i bardziej skłonni do osłabienia czujności – być może nawet odpowiadają na e-maile, które mają zapewnić hakerom dostęp do danych. Ponadto, wraz ze wzrostem poziomu stresu, personel może być bardziej skłonny do reaktywności i mniej strategiczny w swoich działaniach.
• Zmiany sytuacyjne: Praca w różnych lokalizacjach, instrukcje bezpieczeństwa i zasady dostępu mogą wpaść w pułapkę. Może to spowodować mniej rygorystyczny nadzór nad transakcjami i innymi kluczowymi przepływami pracy.
• Zmiany technologiczne: Nagle firmy są zmuszone rozszerzać swoje zapory ogniowe poza fizyczne granice swojego biura. Dostęp do systemów firmowych uzyskuje się z szerokiej gamy urządzeń, nawet urządzeń osobistych. Zmiany te mogą prowadzić do kompromisów, rozrostu danych i innych wyzwań.

Chris Silbaugh – wiceprezes ds. rozwoju biznesu w CyberKnights

Brałem udział w szkoleniu z zakresu cyberbezpieczeństwa, a także w prowadzeniu szkoleń, a najważniejszą częścią zwracania się do słuchaczy jest pomoc w zrozumieniu negatywnych skutków, takich jak utrata lub kradzież danych osobowych, informacje związane z biznesem i zgodne z prawem kary które skutkują stratą finansową. Pomóż ludziom najpierw zrozumieć konsekwencje, aby poświęcili czas na nauczenie się, jak zapobiegać takim konsekwencjom

Steven M. Solomon – wiceprezes SecurIT360

Świadomość cyberbezpieczeństwa zmniejsza ryzyko wystąpienia incydentu bezpieczeństwa o dużym wpływie, który może zaszkodzić firmie. Z mojego doświadczenia wynika, że ​​prowadzenie szkoleń z zakresu bezpieczeństwa i świadomości jest cennym działaniem, które jest postrzegane przez wielu liderów biznesu jako unikanie kosztów. Formalnie przypomina pracownikom, że podczas wykonywania pracy należy wziąć pod uwagę ważne zasady i procedury bezpieczeństwa, a także określa konsekwencje nieprzestrzegania zasad dobrej higieny cybernetycznej. Przy dominacji zagrożeń i wysokich kosztach incydentów bezpieczeństwa pracownicy powinni zachować czujność w swoich codziennych działaniach.

Cindy Murphy – prezes Digital Forensics w Tetra Defense

Programy uświadamiające i inicjatywy szkoleniowe w zakresie bezpieczeństwa pracowników mają kluczowe znaczenie dla ochrony poufnych danych posiadanych przez organizacje. Jestem orędownikiem organizowania szkoleń z zakresu cyberbezpieczeństwa, tak aby pracownicy byli przygotowani do rozpoznawania złośliwej aktywności. Na przykład oszuści nadal głównie wykorzystują pocztę e-mail, aby oszukać swoje ofiary. Nowością w tej erze są oszukańcze wiadomości w e-mailach: CDC prosi o darowizny w Bitcoin. Twoje dokumenty ulgi podatkowej COVID-19 są dostępne na tej (fałszywej) stronie internetowej. Lekarz ze Światowej Organizacji Zdrowia ma „poradę dotyczącą narkotyków”, jeśli klikniesz tutaj. To jest inżynieria społeczna w najgorszym wydaniu — i niestety bardziej prawdopodobne jest, że zadziała w tych niepewnych czasach.

Przez ostatnie trzy i pół miesiąca ludzie nie stali się bardziej naiwni; przyzwyczaili się do dużych zmian w małych wiadomościach. Kiedy kolejny nagłówek wiadomości może dotyczyć bezpieczeństwa lub choroby, znacznie łatwiej jest uwierzyć w informacje, które pojawiają się bezpośrednio w Twojej skrzynce odbiorczej.

Mark Soto – dyrektor generalny Cybericus

Jednym z najważniejszych powodów, dla których świadomość cyberbezpieczeństwa jest ważna dla pracowników, jest fakt, że zdecydowana większość naruszeń danych (w zależności od źródła waha się między 60-80%) jest spowodowana wewnętrznymi błędami pracowników, a prawie (30-40%) ten sam powód powyżej) naruszeń danych jest spowodowany złośliwymi pracownikami wewnętrznymi. Twoi pracownicy muszą być świadomi podstaw cyberbezpieczeństwa, cyberzagrożeń zarówno na zewnątrz firmy, jak i wewnątrz niej. Zwykle współpracujemy z firmami, które zostały zaatakowane, ale zdecydowanie uznalibyśmy, że warto przeprowadzić szkolenie z zakresu cyberbezpieczeństwa.

Możesz wydać miliony dolarów na najlepsze, wysoce zaawansowane oprogramowanie do cyberbezpieczeństwa dla swojej firmy, ale jeśli Twoi pracownicy nie mają wystarczającej wiedzy na temat najlepszych praktyk, po prostu marnujesz swoje pieniądze. Oprogramowanie może zrobić tylko tyle, aby zapobiec atakom spowodowanym błędem ludzkim, a jeśli Twój pracownik nie wie, dlaczego nie powinien podłączać losowych pamięci USB do komputera lub nie klikać losowych łączy e-mail z podejrzanych adresów e-mail, to Ty na pewno zostaniesz zhakowany bez względu na rodzaj oprogramowania lub technologii, z której korzystasz.

Marty Puranik – Prezes i Dyrektor Generalny Atlantic.net

Głównym trendem, który obecnie obserwujemy, a który tak naprawdę nie istniał wiele lat temu, jest szkolenie pracowników w zakresie cyberbezpieczeństwa. Powinno to być częścią kultury Twojej firmy, a im bardziej jest ona rozpowszechniona w Twojej firmie, tym więcej osób ją kupi. Spróbuj zaangażować swojego dyrektora ds. informatyki lub kierownika działu IT w proces onboardingu, aby uświadomić nowym pracownikom, jak ważne jest bezpieczeństwo w ich nowym miejscu pracy. W przypadku długoletnich pracowników upewnij się, że Twoja wiadomość jest przekazywana przez liderów ich zespołów. Staraj się trzymać z daleka od długich e-maili i notatek, które wielu pracowników przegląda w pierwszych kilku zdaniach przed usunięciem.

Zamiast tego spróbuj stworzyć kilka filmów, a może powiesić infografiki w głównych obszarach biura, takich jak pokój socjalny, w pobliżu fontanny, a nawet w toalecie. Nawet jeśli Twoi pracownicy nie są tak zainteresowani bezpieczeństwem, wielokrotne czytanie fraz i działań w formie wizualnej pomoże im zapamiętać te wiadomości, gdy w sieci wydarzy się coś niezwykłego.

Nick Santora – dyrektor generalny Curricula

Według różnych raportów od czasu wybuchu koronawirusa nastąpił 500% wzrost cyberataków. Hakerzy i źli aktorzy wykorzystują ten niefortunny czas, przez który wszyscy przechodzimy. Widzieliśmy tak wiele ataków phishingowych na pracowników, którzy są teraz częścią ogromnej zdalnej siły roboczej, a brak szkolenia w zakresie cyberbezpieczeństwa jest oczywisty.

Najskuteczniejszą strategią cyberbezpieczeństwa nr 1 jest przeszkolenie pracowników na każdym szczeblu w firmie, czego należy szukać w podejrzanej wiadomości e-mail, potencjalnym oszustwie phishingowym, a nawet ataku ransomware.

Dr Al Marcella – CISAM, CISA, prezes Business Automation Consultants

Kiedyś mówiliśmy, że „wiedza to potęga”, jednak w naszym globalnie połączonym, zawsze dostępnym, 24 godziny na dobę, 7 dni w tygodniu, zależnym od informacji świecie dane są towarem – dane mają wartość. To już nie wiedza rodzi moc, ale dzisiaj „informacja to potęga”. Pracownik, który nie działa odpowiedzialnie w celu ochrony i zabezpieczenia zasobów informacyjnych organizacji, niezmiennie naraża organizację na ryzyko… finansowe, konkurencyjne, prawne.

Zajmuję się szkoleniami z zakresu cyberbezpieczeństwa od ponad 35 lat. Szkolenie, które zmusza pracownika do zatrzymania się i zastanowienia, zanim kliknie na zewnętrzną wiadomość e-mail, przekaże informacje dzwoniącemu, otworzy łącze internetowe, zeskanuje kod QRC lub podejmie jakiekolwiek działania, które mogą potencjalnie narazić siebie lub jego organizację na ryzyko, jest pozytywne, otwarte, terminowe i proaktywne szkolenia.

Cyberbezpieczeństwo to nie tylko IT/personel techniczny

Zauważyłem, że w wielu dyskusjach na temat szkoleń z zakresu cyberbezpieczeństwa zakłada się, że tylko personel techniczny musi być dobrze zorientowany w najlepszych praktykach bezpieczeństwa. Pomija to jednak fakt, że nawet jeśli osoby odpowiedzialne za projektowanie sieci firmowych dokładają wszelkich starań, aby zminimalizować ryzyko, wystarczy, że jedna osoba w firmie kliknie niewłaściwy link, aby to wszystko cofnąć.

Istnieje potrzeba wyeliminowania tego pomysłu i uczynienia ze świadomości cyberbezpieczeństwa programu obejmującego wszystkie elementy. Oto, co niektórzy eksperci mają do powiedzenia na ten temat:

Dr Tom Keenan – profesor na Uniwersytecie w Calgary
Nawet recepcjonistki potrzebują szkolenia i świadomości w zakresie cyberbezpieczeństwa!

Nigdy nie zapomnę „Social Engineering Challenge” na DEF CON kilka lat temu, gdzie celem było wydobycie informacji z dealerów samochodowych, podobno dlatego, że mieli być przedstawiani jako fałszywy „Dealer of the Month”.

Recepcjoniści zrezygnowali z takich rzeczy jak „którą wersję systemu Windows obsługuje Twoja firma?”, „Jak się nazywa i e-mail dyrektora finansowego?”, a nawet „Którego dnia zbierasz śmieci?”, które są przydatne dla hakerów i złodziei tożsamości .

Tak więc, kiedy idę do firmy na szkolenie uświadamiające w zakresie cyberbezpieczeństwa, zwykle rozmawiam z recepcjonistą, a następnie mogę opowiedzieć CIO i dyrektorowi generalnemu wiele interesujących rzeczy na temat ich firmy. Działa za każdym razem!

Gabe Turner – ekspert ds. cyberbezpieczeństwa w Security.org

Uważam, że szkolenie powinno być skierowane do każdego pracownika, który używa urządzeń elektronicznych do celów służbowych, zwłaszcza jeśli korzysta z Internetu. Podczas gdy informatycy zostaną oczywiście sprowadzeni, jeśli dojdzie do naruszenia danych, samo szkolenie pracowników jest środkiem zapobiegawczym, a nie środkiem reaktywnym, zmniejszając przede wszystkim szansę firmy na naruszenie danych.

Ilia Sotnikov – wiceprezes ds. zarządzania produktem w Netwrix

Regularne sesje szkoleniowe dla wszystkich zespołów, od informatyków po pracowników niezwiązanych z IT, pomogą Twojemu personelowi lepiej zrozumieć, jak powinni reagować na działania hakerów. Na przykład, jeśli dodasz informacje o phishingu i najnowszych oszustwach, istnieje szansa, że ​​pracownicy nie klikną podejrzanych linków w wiadomościach e-mail i wyślą te wiadomości do zespołu IT.

Co więcej, te sesje szkoleniowe pomogą pracownikom na wszystkich poziomach i ze wszystkich działów zrozumieć, że są osobiście odpowiedzialni za stan bezpieczeństwa organizacji, co może pomóc im zachować większą czujność. Może to nie w pełni wyeliminować ryzyka naruszenia danych, ale z pewnością będziesz mieć lepszą kulturę pracy, a Twoje dane i systemy będą lepiej chronione.

Darren Deslatte – lider ds. operacji w zakresie luk w zabezpieczeniach w firmie Entrust Solutions

Program szkoleń z zakresu cyberbezpieczeństwa w Twojej firmie powinien bezwzględnie obejmować wszystkich pracowników. Prawie 90% cyberataków jest spowodowanych błędem ludzkim lub zaniedbaniem. Jednym z najlepszych sposobów na pokonanie tych szans jest upewnienie się, że wszyscy w Twojej organizacji rozumieją swoją odpowiedzialność za utrzymywanie cyberbezpieczeństwa Twojej firmy, od dyrektora generalnego po zdalnego wykonawcę.

Kluczowe tematy, które należy uwzględnić w programie szkoleniowym z zakresu cyberbezpieczeństwa

Aby plan cyberbezpieczeństwa był skuteczny, program szkoleniowy powinien być odpowiednio zaprojektowany tak, aby zawierał tematy, które skutecznie przyczyniają się do zwiększania świadomości pracowników, nie powodując przy tym poczucia przytłoczenia. Taka jest ogólna zgoda ekspertów, którzy wyrazili swoje poglądy na ten temat:

Chris Silbaugh – wiceprezes ds. rozwoju biznesu w CyberKnights

Istnieje wiele tematów związanych z cyberbezpieczeństwem, z których pracownicy powinni być szkoleni i powinno to ostatecznie zależeć od stanowiska, na którym znajduje się pracownik. Na przykład pracownicy działu technicznego/informatycznego powinni przejść bardziej rygorystycznie, biorąc pod uwagę charakter, z jakim mają do czynienia podstawową odpowiedzialność za zarządzanie siecią firm w jakimś kształcie lub formie.

Pracownicy, którzy są bardziej przeciętnym użytkownikiem sieci firmowej, powinni przejść inną formę szkolenia, która skupia się na prostszym podejściu do zarządzania bezpieczeństwem domeny. Wreszcie, szkolenie nie powinno mieć długich formatów, które pozwalają pracownikowi na szybką utratę uwagi. Szkolenie powinno odbywać się często, ale krócej. Zwieńczenie wieloletniego szkolenia okaże się lepszym procesem niż kilka godzin poświęconych jednorazowo.

Nick Santora – dyrektor generalny Curricula

Niektóre kluczowe tematy szkoleń uświadamiających w zakresie cyberbezpieczeństwa to:

1 Phishing — większość cyberataków na organizację odbywa się za pośrednictwem phishingu e-mail. Pracownicy muszą wiedzieć, jak rozpoznać atak phishingowy i bronić się przed niekliknięciem podejrzanych łączy w wiadomości e-mail.

2 Ochrona hasłem – Pracownicy powinni wiedzieć, jak tworzyć silne hasła, na przykład nie używać haseł łatwych do odgadnięcia przez kogoś, takich jak „1234″. Powinni również rozumieć ryzyko ponownego użycia hasła między kontami osobistymi i firmowymi, jak używać menedżera haseł („skarbiec”) i dowiedz się, dlaczego hasła są tak ważne w ochronie ich kont internetowych.

3 Bezpieczeństwo informacji — „InfoSec” ma na celu ochronę cyfrowych zasobów informacyjnych Twojej organizacji. Pracownicy powinni rozumieć, że dostęp do informacji jest przywilejem, a dostęp „niezbędny” powinien być praktykowany przez cały czas. Udostępnianie poufnych danych poza organizację należy traktować bardzo poważnie, a pracownicy powinni znać politykę organizacji w zakresie ochrony informacji.

4 Ransomware – Ransomware to złośliwe oprogramowanie, które szyfruje dane na komputerze, dopóki hakerowi nie zostanie wypłacona pewna suma pieniędzy. Jest to jedno z najpopularniejszych zagrożeń wymierzonych w firmy na całym świecie. Jeśli okup nie zostanie zapłacony, Twój komputer i wszystkie jego dane są nie do odzyskania. Najlepszym sposobem obrony przed oprogramowaniem ransomware jest przede wszystkim zapobieganie jego występowaniu.

Dr Al Marcella – CISAM, CISA, prezes Business Automation Consultants

Dane są atutem – i mają wartość dla firmy. Pracownicy muszą zostać przeszkoleni, aby traktować dane jako krytyczny zasób firmy, który należy chronić.

Ryzyko cybernetyczne. Kim są cyberprzestępcy, którzy chcą uzyskać nieautoryzowany dostęp do krytycznych zasobów danych firmy? Jakie luki w zabezpieczeniach firmy mogą wykorzystać cyberprzestępca? Jaka jest możliwość wykorzystania luki przez cyberprzestępcę? Jaki jest wpływ (finansowy, prawny, reputacyjny) na organizację, gdyby tak się stało? Jaka jest rola każdego pracownika w ograniczaniu tych zagrożeń cybernetycznych?

Bezpieczeństwo sieci. Pracownicy powinni łączyć się z Internetem i sieciami firmowymi tylko za pośrednictwem usługi wirtualnej sieci prywatnej, dzięki czemu wymiany pracowników są prywatne.

Szyfrowanie. Edukuj pracowników w zakresie wdrażania i konsekwentnego korzystania z silnych protokołów szyfrowania w celu ochrony krytycznych zasobów danych cyfrowych organizacji.

Cyberprzestępcy. Konsekwentne szkolenia i aktualne informacje na temat coraz bardziej wyrafinowanych oszustw, ataków phishingowych, sztuczek socjotechnicznych, fałszywych wiadomości e-mail i kuszących witryn… wszystko to ma na celu nakłonienie pracownika do ujawnienia fikcyjnych, wymyślonych i zwodniczych informacji, kliknięcia, działania lub odpowiedzi na nie.

David Shrier – Dyrektor Programowy Oxford Cyber ​​Futures z Uniwersytetu Oksfordzkiego we współpracy z Mastercard

Pracownicy muszą być przeszkoleni w zakresie zasad higieny cybernetycznej i mieć większą świadomość szerszych zagadnień, takich jak bezpieczeństwo danych i prywatność oraz etyka cybernetyczna – wszystkie z nich stwarzają ryzyko i otwierają możliwości dla przedsiębiorstw. Na przykład Oxford Cyber ​​Futures najpierw buduje silne podstawy cybernetyczne, a następnie rozciąga się na tożsamość cyfrową, predykcyjną sztuczną inteligencję, otwartą bankowość i inne obszary wzrostu.

Aby przedsiębiorstwo mogło efektywnie współpracować w zakresie cybernetycznym, musi zbudować zdolność cybernetyczną we wszystkich obszarach funkcjonalnych organizacji, a nie tylko personelu IT. Często cyberprzestrzeń staje się nieprzenikniona lub przerażająca pod względem sposobu, w jaki jest nauczana, dlatego w naszym programie z Oxfordem staraliśmy się odczarować złożoność i pomóc profesjonalistom biznesowym zrozumieć potencjalny namacalny wpływ na przychody i zyski.

Heinrich Long – ekspert ds. prywatności w firmie Restore Privacy

Jeśli chodzi o szkolenia z cyberbezpieczeństwa dla pracowników, zdecydowanie polecam skorzystanie z profesjonalnego, zewnętrznego dostawcy szkoleń. Jeśli nie możesz znaleźć odpowiedniego rozwiązania dla swojej firmy, ważne jest, aby omówić następujące tematy:

1) Identyfikacja potencjalnych zagrożeń i ryzyka online dla Twojej firmy.

2) Procesy i narzędzia wymagane do zapobiegania naruszeniom danych, w tym zarządzanie dokumentami, hasła i higiena bezpieczeństwa.

3) Bezpieczne korzystanie z Internetu i sposób identyfikowania podejrzanych linków.

4) Bezpieczne korzystanie z poczty e-mail i sposoby unikania phishingu.

5) Odpowiedzialne korzystanie z mediów społecznościowych.

6) Ochrona sprzętu firmowego, takiego jak laptopy, komputery stacjonarne i urządzenia przenośne.

Ważne jest, aby umożliwić pracownikom identyfikację powszechnych zagrożeń cybernetycznych i zapewnić im narzędzia zapobiegające naruszeniom danych

Promowanie kultury świadomości cyberbezpieczeństwa i najlepszych praktyk

Andrew Ryan – założyciel i dyrektor generalny Newtec Services

W Newtec Services traktujemy oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem jako pierwszy krok dla firm, które chcą chronić swoje dane. Menedżerowie muszą również podjąć następujące środki ostrożności:

• Upewnij się, że całe ich oprogramowanie jest aktualne. Naszym klientom polecamy zabezpieczenia w chmurze.
• Wdrażaj kompleksowe zabezpieczenia. Oznacza to upewnienie się, że wszystkie dane, w tym wiadomości, wideo itp., są w pełni zaszyfrowane.
• Szkolenie pracowników, aby nadążali za bardziej rygorystycznymi wymogami bezpieczeństwa. Wyjdź poza wewnętrzne zasady bezpieczeństwa i przeszkol pracowników w zakresie dogłębnego bezpieczeństwa specyficznego dla roli każdego pracownika.

Podstawowy stos techniczny pracowników zdalnych musi zawierać następujące elementy, aby zwiększyć bezpieczeństwo:

• Bezpieczeństwo punktów końcowych
• Wirtualnej sieci prywatnej
• Mobilne zabezpieczenia

Steve Tcherchian – dyrektor ds. bezpieczeństwa informacji w XYPRO ,

Aby program cyberbezpieczeństwa odniósł sukces, kluczowe elementy stanowią następujące elementy

1. Wsparcie odgórne. Jeśli inicjatywa nie jest ważna i wspierana na najwyższych szczeblach organizacji, jest skazana na porażkę. Świadomość cyberbezpieczeństwa nie jest już tylko „problemem IT”. To ryzyko biznesowe i tak należy je traktować.
2. Zaangażuj swoich pracowników. Daj im prawo własności do procesu. Niech będą częścią rozwiązania. Pracownicy są zawsze bardziej zaangażowani i wspierają inicjatywę, jeśli czują, że mają skórę w grze.
3. Gamifikuj proces. Niech to będzie zabawne. Wszyscy kochają rywalizację, a zdrowy proces grywalizacji doświadczenia zapewni, że przyciągniesz udział większości ludzi – nawet tych, którzy nie mają nic przeciwko.

David B. Rounds – CEO NetEffect

Świadomość cyberbezpieczeństwa jest obecnie ważnym tematem. Jak upewnić się, że Twoi pracownicy są świadomi cyberbezpieczeństwa? Zaczyna się od góry i jest jak każda inna polityka lub proces, który ma firma. Powinna istnieć świadomość i koncentracja na bezpieczeństwie na poziomie wykonawczym. Obawy powinny być wyartykułowane w rozmowach ze wszystkimi pracownikami, aż do najprostszego pracownika korzystającego jedynie z systemów poczty elektronicznej lub dostępu do jednej aplikacji firmowej. To podstawa całej kultury firmy.

Musisz także mieć program szkoleniowy. Niezależnie od tego, czy jest to coś dostarczanego wewnętrznie przez doświadczonych pracowników lub dział HR, czy jeszcze lepiej, firmy mogą znaleźć program uświadamiający cyberbezpieczeństwo. Jest ich wiele. Niektóre są tak tanie, jak kilka dolarów miesięcznie na użytkownika. Programy te mogą obejmować takie rzeczy, jak krótkie 2-5 minutowe „mikro-szkolenia”, symulowane próby phishingu e-mailowego, a nawet śledzenie świadomości pracowników w zakresie cyberbezpieczeństwa i monitorowanie potwierdzeń zasad firmy dla dowolnych zasad firmy.

To może być również zabawne! Niektóre systemy pokazują anonimowe oceny bezpieczeństwa, w których pracownicy mogą rywalizować o to, kto jest najwyższy.

Chloé Messdaghi – wiceprezes ds. strategii w Point3 Security

Dobrą praktyką jest phishing własnych firm. Mocno wierzę w upewnianie się, że ludzie wiedzą, czym jest phishing i jak mieć na niego oko. Niech ktoś przeprowadzi test na phishing. Istnieją firmy, które możesz zatrudnić do pomocy w tym zakresie i we wdrożeniu programu szkoleniowego i uświadamiającego w zakresie cyberbezpieczeństwa. Sugerowałbym phishing twojego zespołu przez cały rok i aby twoi koledzy z drużyny zrobili to samo, na przykład ustawili fałszywą personę; e-mail pod imieniem twojego szefa (oczywiście za pozwoleniem!) i wysyłaj e-maile do członków zespołu, że wykonują świetną robotę, a oto karta podarunkowa Amazon, po prostu kliknij link (niezłośliwy link, ale coś, co śledzi, czy link został użyty)…

Wiele osób uważa, że ​​wdrażanie praktyk bezpieczeństwa to dużo pracy. Faktem jest, że jeśli atakujący dostanie się tylko do jednego z Twoich pracowników, może mieć dostęp do Twojej operacji i poufnych informacji, więc ilość pracy, która może być w to zaangażowana, jest tego warta, aby uniknąć potencjalnej katastrofy. Upewnij się, że Twoi pracownicy rozumieją to w pełni. Przeprowadzaj testy phishingowe jak gra, angażuj pracowników w „zabawę”, jednocześnie podkreślając wagę bycia świadomym i zachowania bezpieczeństwa nie tylko jako jednostki, ale jako potencjalnie zagrożonej części firmy jako całości.

Kończąc

Jeśli nie jesteś przytłoczony wszystkimi poradami i spostrzeżeniami ekspertów powyżej, oto zwięzłe zestawienie wskazówek, których każdy pracownik i organizacja powinien przestrzegać w interesie dobrych praktyk cyberbezpieczeństwa:

Paul Howard – Koordynator ds. Rozwoju Biznesu Centrum Szkoleniowego Smitha i Agencji Śledczej Smitha

Utrzymuj biurko w czystości; nie używaj swojego urządzenia osobistego w celach biznesowych; zarządzać swoimi danymi; korzystać z zewnętrznych rozwiązań pamięci masowej; praktykować bezpieczne nawyki internetowe; bądź bardzo ostrożny ze swoim hasłem; ogranicz ilość udostępnianych w serwisach społecznościowych i bądź świadomy ich słabych punktów; uważaj na oszustwo e-mailowe; mieć świadomość, czym jest złośliwe oprogramowanie; i na koniec zawsze uzyskaj fachową poradę od informatyka, jeśli kwestionujesz coś, co wydaje się nie na miejscu.