Как да подобрите киберустойчивостта на вашата работна сила

Кибер офанзивите се усилват както по брой, по този начин и по трудност, само че доста компании към момента не съумяват да обезпечат съответно образование за киберсигурност на своите чиновници.

Въпреки че английските компании са претърпели 2,39 милиона хакерски атаки през миналата година, единствено 18 % от тях са дали образование по киберсигурност на личния състав си, съгласно изследването на държавното управление на Обединеното кралство за 2023 година за нарушавания на киберсигурността.

Такава липса на образование по сигурността постоянно значи чиновниците не са готови да се оправят със съществуващи — и нововъзникващи — киберзаплахи. Проучване на Chartered Management Institute в Обединеното кралство откри, че единствено един на всеки 10 мениджъра схваща основите на сигурността, като да вземем за пример задаване на мощни пароли и разкриване на злонамерени имейли.

Тази празнота в знанията продължава, макар че хората играят роля в 74 % от нарушавания на киберсигурността — съгласно отчета за следствие на нарушавания на данните на Verizon 2023 — да вземем за пример посредством тракване върху злонамерени хипервръзки или отваряне на документи във фишинг имейли.

Следователно компаниите би трябвало да гледат на хигиената на киберсигурността като на „ главен приоритет “ и разработете „ киберсъзнателна фирмена просвета “, споделя Трис Морган, ръководещ шеф по сигурността в английската телекомуникационна група BT.

Той споделя, че фирмите би трябвало да дават на чиновниците си постоянно образование за онлайн сигурност и да им дават опция да вземат по-добри решения във връзка с рисковете за киберсигурността.

Като част от процеса те би трябвало да предизвикват прозрачността, тъй че чиновниците „ намерено да разискват сигурността опасения и докладвайте за тях “, като в същото време не „ трансферирате виновността на чиновниците, в случай че се провалят, и празнувате, когато виждат киберзаплаха “. Той споделя, че фирмите могат да добавят своите стратегии за образование по киберсигурност с спомагателни отбрани като дисциплинираност на паролите, предпазен корпоративен WiFi, антивирусен програмен продукт и програмен продукт срещу злотворен програмен продукт и виртуални частни мрежи.

„ Доста повече от половината компании (61 на цент) в Обединеното кралство намират за предизвикателство да бъдат в крайник с ограниченията за киберсигурност “, прибавя Морган.

„ Въпреки това, посредством определяне на киберфокусирана фирмена просвета и солидна основа от протоколи за сигурност за личния състав, компаниите могат увеличи устойчивостта на киберпространството за идната година. “

Ефективната тактика за хигиена на киберсигурността включва „ лидерски ангажимент “, при който ръководителите практикуват положителни привички за сигурност и „ предизвикват чиновниците да вършат същото “, съгласно Бхарат Мистри, механически шеф в компанията за ИТ сигурност Trend Micro.

Добра концепция е да „ обмислите ограничение на достъпа до данни и системи въз основа на функции и отговорности – с цел да минимизирате въздействието, в случай че един акаунт бъде злепоставен “, както и осъществяване на „ постоянни прегледи на достъпа “ в опит да „ подсигурява, че привилегиите остават подобаващи “, поучава той.

Мистри прибавя, че симулирането на общи закани за киберсигурността, като фишинг имейли, посредством интерактивна стратегия за образование може да бъде положително метод за повишение на информираността и отзивчивостта на чиновниците.

Но заканите не постоянно са явни. Въпреки че може да е по-лесно за личния състав да забележи фишинг имейли, в случай че съдържат правописни неточности или погрешно форматиране, те евентуално ще се затруднят да разпознават ориентирани офанзиви, съгласно Джеймс Уотс, ръководещ шеф в Databarracks, експерт по непрекъснатост на бизнеса.

„ Нападателите ще проучат вашите клиенти, снабдители и личен състав и ще включат тази детайлност, с цел да създадат имейлите по-убедителни “, изяснява той. „ Те могат да купуват домейни, с цел да изпращат имейли, които наподобяват по този начин, като че ли са от вашата организация. “

Служителите не са склонни да заобикалят политиките за киберсигурност заради мързел или непросветеност, те постоянно просто се пробват да намерят най-бързия метод да си свършат работата

Джеймс Уотс, Databarracks

Казва Уотс „ Общо образование по киберсигурност “ не е задоволително, с цел да се опълчи на тези опасности, и приканва работодателите да „ бъдат наясно какви типове връзки чиновниците могат да чакат от организацията “ и „ какво би трябвало да стърчи като съмнително “.

Той също по този начин предлага на фирмите да предлагат и обозначат съответно лице или група, които могат да ревизират и ревизират подозрителна цифрова активност.

„ Служителите не са склонни да заобикалят политиките за киберсигурност заради мързел или непросветеност, те постоянно са просто се пробват да намерят най-бързия метод да си свършат работата “, споделя той. „ Улеснете инспекцията и потвърждението на евентуални фишинг имейли. “

Нийл Такър, основен чиновник по осведомителна сигурност на Emea в компанията за облачна сигурност Netskope, предизвестява да не се създава годишна стратегия за образование по киберсигурност, тъй като е малко евентуално да смяна на държанието на чиновниците или намаляване на хакерските атаки.

„ На човешко равнище годишното образование постоянно може да се преглежда като досадна работа и спънка сред служителя и ежедневната му работа “, споделя той. „ На корпоративно равнище тези стратегии за образование реализират малко повече от отмятането на полетата за сходство. “

Вместо това компаниите би трябвало да оферират образование в действително време, което „ неотложно ще маркира високорисково държание “ и „ предлага различни дейности за служителя ”. Това ще помогне на личния състав да „ взима по-безопасни решения “ и ще подсигурява, че компаниите могат да „ предотвратят кибер произшествия сега, в който опасността възникне “.

С появяването на нови технологии пейзажът на заканите за киберсигурността също ще се развива.

Катрин Мълиган, гост-лектор в Imperial College Business School, употребява образеца на генеративен изкуствен интелект, който евентуално разкрива търговски секрети.

Тези нови закани изискват чиновниците „ да бъдат адаптивни в метода, по който мислят за сигурността “ и да обмислят „ следствията за киберустойчивост на техните дейности във всички елементи на ежедневните им действия “.

Тя споделя, че фирмите би трябвало да подсигуряват, че всички в организацията развива „ вярното мислене “ за реагиране на „ напълно нови и непознати закани “ — а освен на „ известни закани “ — като в същото време подсигурява, че кибер устойчивостта е „ вградена във всяка част от работата на индивида “.

“ Много просто, даже най-добре подготвеният екип за киберсигурност няма да бъде в положение да бъде в крайник с зараждащите закани — това ще изисква междуорганизационно съдействие и доверие “, заключава тя.