Cyberangrep er på vei oppover - men hvis vi skal være ærlige, har den uttalelsen vært sann en stund, gitt akselerasjonen av cyberhendelser de siste årene. Nylig forskning tyder på at organisasjoner opplevde 50 % flere angrepsforsøk per uke på bedriftsnettverk i 2021 enn de gjorde i 2020, og taktikker som phishing er i ferd med å bli stadig mer populært ettersom angripere foredler sine utprøvde metoder for å lokke intetanende mål på en mer vellykket måte.
Det er derfor ingen overraskelse at cyberresiliens har vært et hett tema i cybersikkerhetsverdenen. Men selv om cyberresiliens i store trekk refererer til en organisasjons evne til å forutse, motstå og komme seg etter cybersikkerhetshendelser, gjør mange eksperter den feilen å bruke begrepet spesifikt på teknologi. Og selv om det er sant at deteksjons- og utbedringsverktøy, sikkerhetskopieringssystemer og andre ressurser spiller en viktig rolle i cyberresiliens, overser organisasjoner som utelukkende fokuserer på teknologirisiko et like viktig element: mennesker.
Folk er sårbare, men de trenger ikke å være det
Folk blir ofte sett på som det svake leddet i cybersikkerhet. Det er lett å forstå hvorfor. Folk faller for phishing-svindel. De bruker svake passord og utsetter å installere sikkerhetsoppdateringer. De feilkonfigurerer maskinvare og programvare, lar skyaktiva være usikret og sender konfidensielle filer til feil mottaker. Det er en grunn til at så mye cybersikkerhetsteknologi beveger seg mot automatisering: å fjerne folk fra ligningen blir sett på som en av de mest åpenbare måtene å forbedre sikkerheten på. For mange sikkerhetseksperter er det bare sunn fornuft.
Bortsett fra - er det virkelig? Det er sant at folk gjør feil - det kalles tross alt "menneskelig feil" av en grunn - men mange av disse feil kommer når ansatte ikke er i stand til å lykkes. Phishing er et godt eksempel. De fleste er kjent med konseptet phishing, men mange er kanskje ikke klar over de grusomme teknikkene som dagens angripere bruker. Hvis ansatte ikke har fått riktig opplæring, er de kanskje ikke klar over at angripere ofte utgir seg for å være ekte personer i organisasjonen, eller at administrerende direktør som ber dem kjøpe gavekort "for en bedrifts happy hour" sannsynligvis ikke er lovlig. Organisasjoner som ønsker å bygge sterk cyberresiliens kan ikke late som om folk ikke eksisterer. I stedet må de prioritere motstandsdyktigheten til folket deres like høy som robustheten til teknologien deres.
Å lære organisasjonen å gjenkjenne tegnene på vanlige angrepstaktikker, praktisere bedre passord og cyberhygiene og rapportere tegn på mistenkelig aktivitet kan bidra til å lette byrden på IT- og sikkerhetspersonell ved å gi dem bedre informasjon på en mer tidsriktig måte. Det unngår også noen av fallgruvene som skaper sluk for deres tid og ressurser. Ved å sikre det mennesker på alle nivåer i virksomheten er mer robuste, vil dagens organisasjoner oppdage at deres generelle cyberresiliens vil forbedres betydelig.
Bygge de nødvendige støttesystemene
COVID-19-pandemien – og den resulterende akselerasjonen av digital transformasjon, skyadopsjon og fjernarbeid – innkapsler perfekt behovet for å prioritere mennesker. Sikkerhetsteam har vært i en trykkoker siden pandemien begynte, og stadig blitt bedt om å gjøre mer, ta hensyn til flere variabler, sette opp nye muligheter. Og selvfølgelig er det alltid en ny sårbarhet som fanger oppmerksomheten til en administrerende direktør eller annen seniorleder og som plutselig blir en prioritet. Disse lagene er slitne, og utbrenthet er en reell bekymring. De trenger støtte fra sine organisasjoner.
Fordi, like verdifulle som moderne cybersikkerhetsverktøy er, tar folk fortsatt de viktigste avgjørelsene — som betyr å prioritere motstandskraften til disse menneskene er avgjørende. Slitne, overarbeidede ansatte som ikke føler seg verdsatt av arbeidsgiverne sine, er mer utsatt for feil eller dømmekraft. Det er viktig å holde åpen dialog med IT- og sikkerhetspersonell for å forstå deres behov. Ansatte som finner seg i å jobbe 12-timers dager igjen og igjen er ikke bare utsatt for feil. De vil sannsynligvis dra for en bedre mulighet - en som lar dem opprettholde en sunn balanse mellom arbeid og privatliv. Organisasjoner må være forberedt på å ansette og lære opp nye medarbeidere for å bidra til å bære noe av belastningen for team som allerede har i oppgave å gjøre betydelige justeringer i møte med pågående utfordringer.
Å lære å gjenkjenne tegn på utbrenthet hos folk, snakke åpent om utbrenthet og hvordan du takler det, og oppmuntre til en kultur for velvære vil gi et mer robust team. Tross alt handler motstandskraft om utvinning, både i mennesker og teknologi.
Overse aldri viktigheten av mennesker
Alt for mange organisasjoner i dag ser på mennesker som utskiftbare, men organisasjoner som ønsker å forbli standhaftige i møte med dagens trussellandskap, bør anerkjenne verdien av en glad, motivert, veltrent og godt uthvilt arbeidsstyrke. Cyberresiliens handler ikke bare om å ha den riktige teknologien på plass for å håndtere moderne angripere, men om å styrke folk til å ta de riktige avgjørelsene, og sikre at de har kunnskapen og støtten de trenger for å ta dem. Overse viktigheten av mennesker på egen risiko – selv med automatisering på vei opp, forblir de ryggraden i en vellykket bedrift.
