Обізнаність працівників із кібербезпеки: поради та найкращі методи
Найбільша трагедія науково-технічного прогресу полягає в тому, що він розвивається набагато швидше, ніж колективна мудрість суспільства. Це те, що Айзек Азімов, по суті, сказав кілька десятиліть тому, коментуючи відносини між наукою і суспільством.
На сьогоднішній день Інтернет став невід'ємною складовою майже всіх аспектів сучасного життя, від особистої сфери до професійної. Незважаючи на нашу зростаючу залежність від Інтернету, дивно, що поінформованість про кібербезпеку залишається значною мірою ігнорована.
На особистому рівні людину можуть вибачити за те, що вона не розуміє належних методів кібербезпеки. Але на корпоративному рівні недбалість компаній і відмова підвищувати обізнаність співробітників з питань кібербезпеки, щонайменше, приголомшують.
Згідно зі звітом, опублікованим Chubb, лише 31% опитаних співробітників повідомили, що пройшли освіту та навчання з кібербезпеки в масштабах всієї компанії.
Оскільки пандемія covid-19 збільшує потребу в інтернет-з’єднанні для більшості компаній, підвищений ризик порушень безпеки занадто високий, щоб ставитися до нього легковажно. Тому це критичний момент для бізнесу. Якщо важливість навчання та поінформованості з питань кібербезпеки й надалі принижується, компанії будуть нести основний тягар цифрових атак. В умовах нестабільної економіки це може мати руйнівні наслідки.
Моя мета при написанні цієї статті полягала в тому, щоб зіграти невелику роль у сприянні відчуття невідкладності щодо необхідності для компаній інвестувати в навчання своїх співробітників з кібербезпеки. Замість того, щоб наводити аргументи на користь моєї тези, як це є мій звичайний стиль, коли я пишу статті з таких питань, я вирішив запросити професіоналів у сфері безпеки та поділитися їхніми думками щодо цього актуального, але часто ігнорованого питання нашого часу.
Нижче наведено цитати різних думок різних професіоналів галузі, яким я вдячний за те, що вони поділилися з нами своїми думками.
Ненсі Сабіно — генеральний директор та співзасновник SabinoCompTech
Співробітники будуть першою лінією захисту у боротьбі із загрозою кібербезпеки. Якщо вони не знають, що це за загрози, як їх помітити та що з ними робити, вони стають радше ризиком, ніж джерелом запобігання. Коли ви оцінюєте ризик у своїй організації, наявність співробітників, які знають і знають, що вони шукають, і як швидко реагувати, якщо щось трапиться, значно знизить ваш ризик. Запровадження профілактики завжди краще, ніж вирішення проблеми, яке може виявитися надзвичайно дорогим і тривалим.
Особисто я проходжу постійне навчання, яке проводить моя фірма, щоб продовжувати відточувати свої навички та йти в ногу з новими тенденціями в міру їх появи. Ми також пропонуємо це всім нашим клієнтам, щоб вони також могли допомогти нам бути активними. Це було абсолютно варте того, тому що лише поінформованість змінила кількість кліків, які відбуваються в електронних листах, а також кількість даних, введених у фішингові листи тощо.
Джон Свазік – засновник і головний консультант EliteSec
Подобається вам це чи ні, але співробітники залишаються головним вектором для зловмисників, які хочуть отримати доступ до вашої компанії. Через звичайні фішингові електронні листи на адресу «вішинг» (голосовий фішинг) вони будуть використовувати добродушність співробітника, щоб отримати доступ до даних організації, фінансів або комерційної таємниці.
Я проходив і проходив навчання з кібербезпеки протягом багатьох років, і можу сказати, що це незамінно, якщо все робити правильно. Не просто давайте кінцевим користувачам 30-хвилинний відео або навчальний модуль на основі комп’ютера – надайте їм приклади того, що може статися, якщо вони отримають один із цих листів. Який ефект нижнього потоку? Що може статися з особистістю? Це набагато корисніше, ніж просто говорити співробітникам: «Не натискайте на посилання та не завантажуйте вкладення з підозрілих листів».
Стівен Вайсман – експерт з кібербезпеки та професор Університету Бентлі
Компанії захищені лише настільки, наскільки їх співробітники практикують найменшу кількість практик кібербезпеки. Кібератаки, такі як програми-вимагачі, злом даних і крадіжка важливої інтелектуальної власності, а також компроміс ділової електронної пошти можуть мати руйнівні наслідки для компаній. Я експерт з кібербезпеки та професор Університету Бентлі, де викладаю злочини білого комірця. Я також пишу блог Scamicide, де щодня надаю оновлену інформацію про останні розробки в галузі кібербезпеки.
У Bentley кібербезпека є пріоритетом, і постійно наголошується на навчанні, зокрема, щодо розпізнавання фішингових електронних листів та практичних основ кібербезпеки, наприклад, не натискати посилання, якщо вони не підтверджені як законні. Коли таке навчання проводиться неосудно та корисно, воно дуже ефективне.
Енді Зауер – експерт із кібербезпеки в Steel Root
Обізнаність про кібербезпеку важлива для співробітників в організаційних умовах, оскільки COVID-19 повністю змінив ландшафт, зробивши кібербезпеку набагато більшою загрозою для бізнесу, ніж будь-коли раніше. Це пов’язано зі значним збільшенням кількості людей, які працюють віддалено; що призводить до наступних факторів:
- Зміни в поведінці. Працюючи за межами сайту, співробітники, як правило, більш розслаблені і, швидше за все, припиняють свою пильність – можливо, навіть відповідають на електронні листи, призначені для надання доступу до даних хакерам. Крім того, зі збільшенням рівня стресу персонал може бути більш схильним до реагування та менш стратегічним у своїх діях.
- Ситуаційні зміни. Робота в різних місцях, інструкції з безпеки та правила доступу можуть бути недосконалими. Це може призвести до менш суворого контролю за транзакціями та іншими ключовими робочими процесами.
- Технологічні зміни: раптово компанії змушені розширювати свої брандмауери за межі фізичного офісу. Доступ до систем компанії здійснюється з широкого спектру пристроїв, навіть із персональних пристроїв. Ці зміни можуть призвести до компромісу, розповсюдження даних та інших проблем.
Кріс Сілбо – віце-президент з розвитку бізнесу CyberKnights
Я брав участь у навчанні з кібербезпеки, а також проводив тренінг, і найважливіша частина звернення до аудиторії – допомогти їм зрозуміти негативні наслідки, такі як втрата або вкрадена особиста інформація, інформація, пов’язана з бізнесом, і законні штрафи. що призведе до фінансових збитків. Допоможіть людям спочатку зрозуміти наслідки, щоб вони знайшли час, щоб дізнатися, як запобігти таким наслідкам
Стівен М. Соломон – віце-президент SecurIT360
Поінформованість про кібербезпеку зменшує ризик серйозних інцидентів безпеки, які можуть зашкодити бізнесу. З мого досвіду, освіта щодо безпеки та підвищення обізнаності є цінною діяльністю, яку багато бізнес-лідерів розглядають як уникнення витрат. Він офіційно нагадує співробітникам, що існують важливі політики та процедури безпеки, які слід враховувати під час виконання роботи, і визначає наслідки недотримання належної кібергігієни. З огляду на поширеність загроз і високу вартість інцидентів з безпекою, співробітники повинні бути пильними у своїй повсякденній діяльності.
Сінді Мерфі – президент цифрової криміналістики Tetra Defense
Програми підвищення обізнаності та ініціативи з навчання безпеки співробітників є надзвичайно важливими для захисту конфіденційних даних, якими володіють організації. Я прихильник організації навчання з кібербезпеки, щоб співробітники були налаштовані на розпізнавання зловмисної діяльності. Наприклад, шахраї досі переважно використовують електронну пошту для обману своїх жертв. Новим у цю епоху є шахрайські повідомлення в електронних листах: CDC просить пожертвування в біткойнах. Ваші документи про податкову пільгу на COVID-19 доступні на цьому (підробленому) веб-сайті. Лікар із Всесвітньої організації охорони здоров’я має «пораду щодо ліків», якщо ви натиснете тут. Це найгірша соціальна інженерія — і, на жаль, вона, швидше за все, спрацює в ці невизначені часи.
За останні три з половиною місяці люди не стали більш довірливими; вони звикли до великих змін у маленьких повідомленнях. Коли наступний заголовок новини може стосуватися безпеки чи хвороби, набагато легше повірити інформації, яка з’являється прямо у вашій скриньці.
Марк Сото – генеральний директор Cybericus
Однією з найбільших причин, чому поінформованість про кібербезпеку є важливою для співробітників, пов’язано з тим, що переважна більшість зломів даних (варіюється в межах 60-80% залежно від джерела) спричинені внутрішніми помилками співробітників і майже (30%-40% та ж причина, наведена вище) порушення даних пов’язано з зловмисними внутрішніми співробітниками. Ваші співробітники повинні знати основи кібербезпеки, кібернебезпеки як за межами компанії, так і всередині неї. Зазвичай ми працюємо з компаніями, коли вони зазнали атаки, але ми безперечно вважаємо, що навчання з кібербезпеки варто.
Ви можете витратити мільйони доларів на найкраще високотехнологічне програмне забезпечення для кібербезпеки для вашої компанії, але якщо ваші співробітники недостатньо обізнані в найкращих методах, ви просто витрачаєте свої гроші. Існує лише стільки програмного забезпечення, яке може зробити, щоб запобігти атакам через людську помилку, і якщо ваш співробітник не знає, чому він не повинен підключати випадкові USB-флешки до свого комп’ютера або не натискати випадкові посилання електронної пошти з темних адрес електронної пошти, тоді ви вас обов’язково зламатимуть, незалежно від того, який тип програмного забезпечення чи технології ви використовуєте.
Марті Пуранік – президент і генеральний директор Atlantic.net
Основна тенденція, яку ми зараз спостерігаємо, яка насправді не існувала багато років тому, — це навчання співробітників з кібербезпеки. Це має бути частиною вашої корпоративної культури, і чим ширше воно поширене у вашій компанії, тим більше людей полюбить це. Спробуйте включити свого CIO або IT-менеджера під час процесу адаптації, щоб дійсно донести до нових співробітників важливість безпеки на новому місці роботи. Для тих, хто працює протягом тривалого часу, переконайтеся, що ваше повідомлення передається керівникам їхніх команд. Намагайтеся триматися подалі від довгих електронних листів і записок, які багато співробітників переглядають перші кілька речень перед видаленням.
Замість цього спробуйте створити кілька відео або, можливо, повісьте інфографіку в основних частинах офісу, як-от кімната відпочинку, біля фонтану і навіть у вбиральні. Навіть якщо ваші співробітники не дуже зацікавлені в безпеці, багаторазове читання фраз і дій у візуальній формі допоможе їм запам’ятати зазначені повідомлення, коли щось незвичайне відбувається в Інтернеті.
Нік Сантора – генеральний директор Curricula
За різними даними, після спалаху коронавірусу кількість кібератак зросла на 500%. Хакери та погані актори користуються цим нещасливим часом, який ми всі переживаємо. Ми бачили так багато фішингових атак, спрямованих на співробітників, які зараз є частиною величезної віддаленої робочої сили, і відсутність навчання з кібербезпеки очевидна.
Найефективніша стратегія кібербезпеки № 1 — навчати своїх співробітників на всіх рівнях компанії тому, на що звертати увагу в підозрілих електронних листах, потенційних фішингових шахрайствах або навіть атаці програм-вимагачів.
Доктор Аль Марселла – CISAM, CISA, президент консультантів з автоматизації бізнесу
Ми звикли казати, що «знання – це сила», однак у нашому глобально пов’язаному, постійно працюючому, 24/7, залежному від інформації світі дані є товаром – дані мають цінність. Більше не знання породжує силу, а сьогодні «інформація є силою». Співробітник, який не діє відповідально, щоб захистити та захистити інформаційні активи організації, незмінно піддає організацію ризику… фінансово, конкурентно, юридично.
Я проводжу навчання з кібербезпеки понад 35 років. Навчання, яке змушує співробітника зупинитися і подумати, перш ніж натиснути на зовнішній електронний лист, надати інформацію абоненту, відкрити веб-посилання, сканувати QRC-код або вжити будь-яких дій, які потенційно можуть поставити під загрозу себе або свою організацію, є позитивними, сприйнятливими., своєчасне та активне навчання.
Кібербезпека не лише для ІТ/технічного персоналу
Я помітив, що часто дискусії навколо навчання з кібербезпеки припускають, що лише технічний персонал повинен бути добре обізнаним у найкращих методах безпеки. Але це ігнорує той факт, що навіть якщо люди, відповідальні за проектування мереж компанії, ретельно мінімізують ризики, достатньо лише однієї людини в компанії, натиснувши неправильне посилання, щоб скасувати все це.
Необхідно знищити цю ідею і зробити обізнаність з кібербезпеки комплексною програмою. Ось що говорять деякі експерти з цього приводу:
Доктор Том Кінан – професор Університету Калгарі.
Навіть працівники ресепшн потребують навчання та поінформованості з питань кібербезпеки!
Я ніколи не забуду «Виклик соціальної інженерії» на DEF CON кілька років тому, коли метою було витягти інформацію з автосалонів, імовірно, тому, що вони мали бути представлені як фіктивний «дилер місяця».
Співробітники ресепшн відмовилися від таких речей, як «яка версія Windows у вашій компанії?», «Як ім’я та електронна адреса вашого фінансового директора?» і навіть «У який день збирається ваше сміття?», що корисно для хакерів і злодіїв особистих даних. .
Тому, коли я йду в компанію, щоб пройти тренінг з кібербезпеки, я зазвичай приємно спілкуюся з секретарем, а потім можу розповісти CIO та генеральному директору всілякі цікаві речі про їхню компанію. Працює щоразу!
Гейб Тернер – експерт із кібербезпеки в Security.org
Я вважаю, що навчання має бути зосереджено на будь-якому типі співробітника, який використовує електронні пристрої в корпоративних цілях, особливо якщо вони користуються Інтернетом. Хоча ІТ-спеціалісти, очевидно, будуть залучені в разі будь-яких порушень даних, навчання самих співробітників є превентивним заходом, а не реактивним заходом, що в першу чергу зменшує шанси бізнесу на порушення даних.
Ілля Сотніков – віце-президент з управління продуктами Netwrix
Регулярні тренінги для всіх команд, від ІТ-спеціалістів до не-ІТ-співробітників, допоможуть вашим співробітникам краще зрозуміти, як вони повинні реагувати на дії хакерів. Наприклад, якщо ви включите інформацію про фішинг і останні шахрайства, є ймовірність, що працівники не натискатимуть підозрілі посилання в електронних листах і надсилатимуть ці повідомлення ІТ-команді.
Більше того, ці навчальні заняття допоможуть співробітникам усіх рівнів і всіх відділів зрозуміти, що вони особисто відповідають за безпеку організації, що може допомогти їм бути більш пильними. Це може не повністю усунути ризик злому даних, але ви, безумовно, матимете кращу культуру робочого місця, а ваші дані та системи будуть більш захищені.
Даррен Деслатт – керівник з питань уразливості в Entrust Solutions
Програма навчання з кібербезпеки вашого бізнесу повинна охоплювати всіх співробітників. Майже 90% кібератак спричинені людськими помилками або недбалістю. Один із найкращих способів подолати ці шанси — переконатися, що всі у вашій організації розуміють свою відповідальність за забезпечення кібербезпеки вашої компанії, від генерального директора до віддаленого підрядника.
Щоб план кібербезпеки був ефективним, програма навчання повинна бути належним чином розроблена, щоб включати теми, які ефективно сприяють поінформованості співробітників, не змушуючи їх відчувати себе перевантаженими. Ось загальний консенсус експертів, які висловили свої погляди на цю тему:
Кріс Сілбо – віце-президент з розвитку бізнесу CyberKnights
Існують різноманітні теми кібербезпеки, яким слід навчати співробітників, і в кінцевому підсумку це повинно залежати від посади, на якій працює працівник. Наприклад, персонал технічного/ІТ-відділу повинен проходити більш суворі завдання, враховуючи характер, що їм доручено Основна відповідальність за управління мережею компаній у тій чи іншій формі.
Співробітники, які є більш пересічним користувачем мережі компанії, повинні пройти іншу форму навчання, яка зосереджена на більш простому підході до управління безпекою домену. Нарешті, навчання не повинно проводитися в довгих форматах, які дозволяють працівнику швидко втратити увагу. Тренування слід проводити часто, але менше за тривалістю. Кульмінація багаторічного навчання буде кращим процесом, ніж пара годин, присвячених одночасно.
Нік Сантора – генеральний директор Curricula
Деякі ключові теми навчання щодо кібербезпеки :
1 Фішинг – більшість кібератак на організацію відбуватиметься через фішинг електронної пошти. Співробітники повинні розуміти, як розпізнати фішингову атаку та захиститися від того, щоб не натискати підозрілі посилання в електронному листі.
2 Захист паролем. Співробітники повинні розуміти, як створювати надійні паролі, наприклад, не використовувати паролі, які легко вгадати, наприклад «1234». Вони також повинні розуміти ризик повторного використання пароля між особистим і корпоративним обліковими записами, як використовувати менеджера паролів ("сховище") і дізнайтеся, чому паролі настільки важливі для захисту їхніх онлайн-облікових записів.
3 Інформаційна безпека – «InfoSec» пов'язана з захистом цифрових інформаційних активів вашої організації. Співробітники повинні розуміти, що доступ до інформації є привілеєм, а доступ до інформації має бути на практиці завжди. До обміну конфіденційними даними за межами організації слід ставитися дуже серйозно, і співробітники повинні знати політику вашої організації щодо захисту інформації.
4 Програми-вимагачі. Програми-вимагачі — це шкідливе програмне забезпечення, яке шифрує дані на комп’ютері, доки хакеру не буде виплачена сума грошей, і це одна з найпопулярніших загроз, спрямованих на бізнес у всьому світі. Якщо викуп не сплачено, ваш комп’ютер і всі його дані неможливо буде відновити. Найкращий спосіб захиститися від програм-вимагачів – запобігти цьому.
Доктор Аль Марселла – CISAM, CISA, президент консультантів з автоматизації бізнесу
Дані є активом і мають цінність для компанії. Співробітників потрібно навчити вважати дані важливим корпоративним активом, який необхідно захищати.
Кібер-ризик. Хто є загрозами, які прагнуть отримати несанкціонований доступ до критичних даних компанії? Які вразливі місця в компанії, якими може скористатися учасник загрози? Яка ймовірність того, що суб’єкт загрози скористається вразливістю? Який вплив (фінансовий, юридичний, репутаційний) вплине на організацію, якщо це станеться? Яка роль кожного співробітника в пом’якшенні цих кіберризиків?
Безпека мережі. Співробітники повинні підключатися до Інтернету та мереж компанії лише через службу віртуальної приватної мережі, таким чином, зберігаючи конфіденційність обміну працівниками.
Шифрування. Навчайте співробітників впроваджувати та послідовно використовувати надійні протоколи шифрування для захисту критичних цифрових даних організації.
Кібер-пошуки. Послідовне навчання та оновлена інформація про все більш складні шахрайства, фішингові атаки, прийоми соціальної інженерії, підроблені електронні листи та спокусливі веб-сайти… все це призначено для того, щоб заманити співробітника до розкриття, натискання, дії або відповіді на вигадану, надуману та оманливу інформацію.
Девід Шрієр – програмний директор Oxford Cyber Futures з Оксфордського університету в партнерстві з Mastercard
Співробітників потрібно навчати основним принципам кібергігієни, а також краще знати ширші питання, такі як безпека та конфіденційність даних, а також кіберетика – усе це створює ризик і відкриває можливості для підприємств. Oxford Cyber Futures, наприклад, спочатку створює міцну кібер-фундамент, а потім поширюється на цифрову ідентичність, прогнозний AI, відкриті банківські операції та інші сфери зростання.
Щоб підприємство могло ефективно співпрацювати в кіберпространстві, йому потрібно нарощувати кіберпотенціал у всіх функціональних сферах організації, а не лише в ІТ-персоналі. Часто кібер стає непроникним або страшним з точки зору того, як його викладають, тому в нашій програмі з Оксфордом ми намагалися розкрити складність і допомогти бізнесменам зрозуміти потенціал відчутного впливу на прибуток і прибуток.
Генріх Лонг – експерт із конфіденційності в Restore Privacy
Коли справа доходить до навчання співробітників з кібербезпеки, я б настійно рекомендував використовувати професійного стороннього постачальника навчання. Якщо ви не можете знайти, що підходить для вашої компанії, важливо охопити такі теми:
1) Визначення потенційних онлайн-загроз і ризиків для вашого бізнесу.
2) Процеси та інструменти, необхідні для запобігання злому даних, зокрема керування документами, паролем та гігієною безпеки.
3) Безпечне користування Інтернетом і як визначити підозрілі посилання.
4) Безпечне використання електронної пошти та як уникнути фішингу.
5) Відповідальне використання соціальних мереж.
6) Захист обладнання компанії, такого як ноутбуки, настільні та портативні пристрої.
Важливо надати вашим співробітникам можливість визначати поширені кіберзагрози та надати їм інструменти для запобігання злому даних
Розвиток культури поінформованості про кібербезпеку та передового досвіду
Ендрю Райан – засновник і генеральний директор Newtec Services
У службі Newtec Services ми розглядаємо антивірусне програмне забезпечення або програмне забезпечення для захисту від шкідливих програм для компаній, які хочуть захистити свої дані. Менеджери також повинні вжити таких запобіжних заходів:
- Переконайтеся, що все їхнє програмне забезпечення оновлено. Ми рекомендуємо нашим клієнтам хмарну безпеку.
- Впровадити наскрізну безпеку. Це означає, що всі дані, включаючи повідомлення, відео тощо, повністю зашифровані.
- Навчайте співробітників дотримуватися більш суворих вимог безпеки. Виходьте за межі внутрішньої політики безпеки та навчайте співробітників поглибленій безпеці, яка залежить від ролі кожного працівника.
Основний технологічний стек віддаленого працівника має включати такі речі, щоб підвищити безпеку:
- Безпека кінцевої точки
- Віртуальна приватна мережа
- Мобільна безпека
Стів Черчіан – головний спеціаліст із інформаційної безпеки в XYPRO ,
Щоб програма кібербезпеки стала успішною, ключові компоненти є наступними
- Підтримка зверху вниз. Якщо ініціатива не важлива і не підтримується на найвищих рівнях організації, вона приречена на провал. Обізнаність з кібербезпекою більше не є «проблемою ІТ». Це ризик для бізнесу, і до нього потрібно ставитися саме так.
- Залучайте своїх співробітників. Надайте їм право власності на процес. Зробіть їх частиною рішення. Співробітники завжди краще залучаються та підтримують ініціативу, якщо відчувають, що в грі є шкіра.
- Гейміфікуйте процес. Зробіть це весело. Усі люблять конкуренцію, і здоровий процес гейміфікації досвіду гарантує, що ви отримаєте участь більшості людей, навіть тих, хто не схиляється.
Девід Б. Раундс – генеральний директор NetEffect
Обізнаність про кібербезпеку сьогодні є важливою темою. Як ви гарантуєте, що ваші співробітники обізнані в Інтернеті? Це починається згори, і це так само, як і будь-яка інша політика або процес, який існує в компанії. На рівні виконавчої влади має бути обізнаність та зосередженість на безпеці. Занепокоєння мають бути сформульовані в розмовах з усім персоналом, аж до найпростіших співробітників, лише використовуючи системи електронної пошти або доступ до однієї програми компанії. Це основа всієї корпоративної культури.
Також потрібно мати програму навчання. Незалежно від того, чи це щось надається на дому досвідченими працівниками чи відділом кадрів, чи, ще краще, підприємства можуть знайти програму підвищення обізнаності з кібербезпеки. Їх там багато. Деякі з них коштують лише кілька доларів на місяць на користувача. Ці програми можуть включати такі речі, як короткі 2-5-хвилинні «мікротренінги», імітовані спроби фішингу електронної пошти та навіть відстеження поінформованості співробітників про кібербезпеку та моніторинг підтвердження політики компанії для будь-якої політики компанії.
Це також може бути весело! Деякі системи показують анонімні показники безпеки, коли співробітники можуть змагатися, хто з них найвищий.
Хлое Мессдагі – віце-президент зі стратегії Point3 Security
Фішинг власних компаній є найкращою практикою. Я твердо вірю в те, щоб люди знали, що таке фішинг, і як стежити за ним. Попросіть когось провести тест на фішинг. Є компанії, які ви можете найняти, щоб допомогти з цим, а також допомогти впровадити програму навчання та підвищення обізнаності з кібербезпеки. Я б запропонував займатися фішингом вашої команди протягом року, і попросіть ваших товаришів по команді зробити те ж саме, наприклад, створити фальшиву персону; обліковий запис електронної пошти під іменем вашого боса (звісно, з дозволу!) і надсилайте листи членам команди про те, що вони роблять таку чудову роботу, і ось подарункова картка Amazon, просто натисніть посилання (не шкідливе посилання, але щось, що відстежує, чи посилання було використано)…
Багато людей думають, що впровадження практик безпеки – це велика робота. Справа в тому, що якщо зловмисник може потрапити лише до одного з ваших співробітників, він може отримати доступ до вашої операційної та конфіденційної інформації, тому обсяг роботи, який може бути задіяний, того варте, щоб уникнути потенційної катастрофи. Переконайтеся, що ваші співробітники розуміють це в повній мірі. Проводьте фішингові тести, як ігри, залучайте співробітників до «гравань», підтверджуючи важливість усвідомлення та збереження безпеки не лише як окремої особи, а й як однієї потенційно вразливої частини компанії в цілому.
Завершення
Якщо ви не переповнені всіма наведеними вище порадами та думками експертів, ось стислий виклад порад, яких кожен співробітник і організація повинні дотримуватися в інтересах належної практики кібербезпеки:
Пол Говард – координатор розслідувань з розвитку бізнесу Навчального центру Сміта та Агентства Сміта
Тримайте свій стіл в чистоті; не використовуйте свій особистий пристрій у справах; керувати своїми даними; використовувати зовнішні рішення для зберігання даних; практикуйте безпечні звички в Інтернеті; будьте дуже обережні зі своїм паролем; обмежуйте кількість публікацій на сайтах соціальних мереж і будьте в курсі їх уразливості; остерігайтеся шахрайства електронною поштою; знати, що таке шкідливе програмне забезпечення; і, нарешті, завжди отримайте пораду експерта від ІТ-спеціаліста, якщо ви сумніваєтеся в чомусь, що здається недоречним.