Безопасность бизнеса
Знания — это мощное оружие, которое может дать вашим сотрудникам возможность стать первой линией защиты от угроз.
Октябрь 19 2023 • , 5 минута. читать
В октябре этого года снова наступит Месяц осведомленности о кибербезопасности (CSAM). Это инициатива по повышению осведомленности, которая охватывает как потребительский, так и корпоративный мир, хотя здесь есть много пересечений: в конце концов, каждый сотрудник также является потребителем. Фактически, поскольку мы все чаще работаем дома или на нашем любимом удаленном рабочем месте, линии никогда не были такими размытыми. К сожалению, в то же время риски компромисса никогда не были такими острыми.
Создание более кибербезопасного мира начинается здесь. Так что же ИТ-руководителям следует включить в свои программы повышения осведомленности о безопасности сейчас и в 2024 году? Важно убедиться, что вы имеете дело с киберугрозы сегодня и завтра, а не риски прошлых лет.
Почему обучение важно
По Verizon, три четверти (74%) всех глобальных нарушений за последний год включают в себя «человеческий элемент», который во многих случаях означал ошибку, халатность или небрежность пользователей. стать жертвой фишинга и социальная инженерия. Программы обучения и повышения осведомленности в области безопасности являются важнейшим способом снижения этих рисков. Но быстрого и легкого пути к успеху не существует. На самом деле вам следует стремиться не столько к обучению или повышению осведомленности, поскольку со временем и то, и другое можно забыть. Речь идет об изменении поведения пользователей в долгосрочной перспективе.
То, что может произойти только если вы запускаете программы постоянно, чтобы всегда помнить об обучении. И убедитесь, что никто не упускает из виду — это означает включение временных сотрудников, подрядчиков и руководителей высшего звена. Целью может стать кто угодно, и может потребоваться всего одна ошибка, чтобы потенциально впустить плохих парней. Кроме того, запускайте сеансы небольшими порциями, чтобы иметь больше шансов на то, что сообщения приживутся. И там, где это возможно, включите моделирование или упражнения по геймификации чтобы воплотить в жизнь конкретную угрозу.
Как мы упоминалось ранее, уроки можно даже персонализировать для конкретных ролей и секторов, чтобы сделать их более подходящими для конкретного человека. А методы геймификации могут стать полезным дополнением, которое сделает обучение более интересным и увлекательным.
3 области, которые следует включить сейчас и в 2024 году
Поскольку приближается конец 2023 года, стоит подумать о том, что включить в программы следующего года. Учтите следующее:
1) BEC и фишинг
Компромисс деловой почты (BEC) мошенничество, в котором используются целевые фишинговые сообщения, остается одной из самых прибыльных категорий киберпреступлений. В случаях сообщил в ФБР В прошлом году жертвы потеряли более 2.7 миллиарда долларов. Это преступление, в основе которого лежит социальная инженерия, обычно путем обмана заставить жертву одобрить перевод корпоративных средств на счет, находящийся под контролем мошенника.
Существуют различные методы, с помощью которых они достигают этого, например, выдавая себя за генерального директора или поставщика, и их можно аккуратно включить в упражнения по выявлению фишинга. Это следует сочетать с инвестициями в расширенную безопасность электронной почты, надежные процессы оплаты и двойную проверку любых платежных запросов.
Фишинг как таковой существует уже несколько десятилетий, но по-прежнему остается одним из основных способов первоначального доступа к корпоративным сетям. А благодаря отвлеченным домашним и мобильным работникам у плохих парней еще больше шансов достичь своих целей. Но во многих случаях тактика меняется, как и упражнения по выявлению фишинга. Именно здесь живое моделирование действительно может помочь изменить поведение пользователей. В 2024 году рассмотрите возможность включения фишингового контента через приложения для обмена текстовыми сообщениями или сообщениями (smishing), голосовые звонки (Вишинг) и новые методы, такие как обход многофакторной аутентификации (MFA).
Конкретные тактики социальной инженерии меняются очень часто, поэтому рекомендуется сотрудничать с провайдером учебных курсов, который может соответствующим образом обновлять их содержание.
2) Безопасность удаленной и гибридной работы.
Эксперты уже давно предупреждают, что сотрудники с большей вероятностью игнорируют рекомендации/политику безопасности или просто забывают о них, работая из дома. Один Исследование обнаружили, что 80% работников признались, что работа на дому по пятницам летом делает их, например, более расслабленными и рассеянными. Это может подвергнуть их повышенному риску компрометации, особенно когда домашние сети и устройства могут быть менее хорошо защищены, чем корпоративные аналоги. И именно здесь учебные программы должны вмешаться, предоставив рекомендации по обновлениям безопасности для ноутбуков, управлению паролями и использованию только устройств, одобренных корпорацией. Это должно сопровождаться обучением по предотвращению фишинга.
Кроме того, гибридная работа стала нормой для многих предприятий сегодня. Один претензии к исследованию У 53% сейчас есть политика, и эта цифра, несомненно, будет расти. Однако поездка в офис или работа в общественном месте сопряжена с определенными рисками. Одним из них являются угрозы со стороны общедоступных точек доступа Wi-Fi, которые могут подвергнуть мобильных работников атакам «злоумышленник посередине» (AitM), когда хакеры получают доступ к сети и подслушивают данные, передаваемые между подключенными устройствами и маршрутизатором, а также угрозы «злого двойника». когда преступники создают дублирующую точку доступа Wi-Fi, маскирующуюся под законную, в определенном месте.
Есть также меньше «высокотехнологичных» рисков. Учебные занятия могут стать хорошей возможностью напомнить персоналу об опасностях серфинг на плечах.
3) Защита данных
Штрафы по ВВПР расширились 168% в год до более чем 2.9 млрд евро (3.1 млрд долларов США) в 2022 году, поскольку регулирующие органы ужесточают меры по несоблюдению требований. Это дает организациям довольно веские основания следить за тем, чтобы их сотрудники правильно соблюдали политику защиты данных.
Регулярное обучение — один из лучших способов держать в уме передовой опыт обработки данных. Это означает такие вещи, как использование надежного шифрования, хорошее управление паролями, обеспечение безопасности устройств и немедленное сообщение о любых инцидентах соответствующему контактному лицу.
Сотрудники также могут получить пользу от обучения использованию скрытой копии (BCC), распространенной ошибки, которая приводит к непреднамеренной утечке данных электронной почты, а также от другого технического обучения. И им всегда следует учитывать, следует ли сохранять конфиденциальность того, что они публикуют в социальных сетях.
Курсы обучения и повышения осведомленности являются важной частью любой стратегии безопасности. Но они не могут работать изолированно. Организации также должны иметь надежную политику безопасности, подкрепленную надежными средствами контроля и инструментами, такими как управление мобильными устройствами. «Люди, процессы и технологии» — это мантра, которая поможет построить более кибербезопасную корпоративную культуру.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
- :имеет
- :является
- :нет
- :куда
- $3
- $UP
- 2022
- 2023
- 2024
- 7
- a
- О нас
- доступ
- соответственно
- Учетная запись
- Достигать
- достижение
- дополнение
- признал
- продвинутый
- совет
- После
- снова
- против
- Все
- рядом
- причислены
- Несмотря на то, что
- всегда
- an
- и
- Ежегодно
- любой
- кто угодно
- Программы
- МЫ
- области
- около
- AS
- At
- нападки
- Аутентификация
- осведомленность
- Плохой
- BE
- БЭК
- становиться
- было
- поведения
- польза
- ЛУЧШЕЕ
- Лучшая
- между
- миллиард
- боссов
- изоферменты печени
- нарушения
- приносить
- строить
- бизнес
- но
- by
- Объявления
- CAN
- углерод
- случаев
- случаев
- категории
- Категории
- Генеральный директор
- шанс
- изменение
- изменения
- сочетании
- как
- Общий
- коммутирующих
- скомпрометированы
- подключенный
- Рассматривать
- потребитель
- обращайтесь
- содержание
- непрерывно
- подрядчики
- контроль
- контрольная
- Корпоративное
- правильно
- может
- "Курс"
- курсы
- треснувший
- Преступление
- Преступники
- критической
- Культура
- киберпреступности
- Информационная безопасность
- Опасности
- данным
- защита данных
- занимавшийся
- десятилетия
- Защита
- устройство
- Устройства
- вниз
- легко
- элемент
- возвышенный
- безопасность электронной почты
- Сотрудник
- сотрудников
- расширение прав и возможностей
- шифрование
- конец
- привлечение
- Проект и
- обеспечивать
- эквиваленты
- ошибка
- особенно
- Даже
- Каждая
- пример
- руководителей высшего звена.
- чрезвычайно
- факт
- Избранное
- фигура
- конец
- Во-первых,
- после
- Что касается
- найденный
- мошенничество
- часто
- Fridays
- от
- передний
- фонд
- принципиально
- геймификации
- Глобальный
- Цели
- хорошо
- Расти
- Хакеры
- Управляемость
- Есть
- помощь
- здесь
- Главная
- Hot Spot
- Однако
- HTTPS
- Гибридный
- идея
- if
- игнорировать
- немедленно
- важную
- in
- включают
- В том числе
- включения
- все больше и больше
- individual
- начальный
- Инициатива
- в
- Вложения
- изоляция
- IT
- ЕГО
- JPG
- всего
- только один
- Сохранить
- хранение
- хранится
- ноутбуки
- Фамилия
- В прошлом году
- Лиды
- Утечки
- законный
- Меньше
- Уроки
- позволять
- рычаги
- ЖИЗНЬЮ
- такое как
- Вероятно
- линия
- линий
- LINK
- жить
- расположение
- Длинное
- искать
- потерянный
- сделать
- ДЕЛАЕТ
- управление
- Мантра
- многих
- макс-ширина
- Май..
- означает
- означает,
- Медиа
- Сообщения
- обмен сообщениями
- методы
- МИД
- может быть
- мин
- против
- промахов
- ошибка
- смягчать
- Мобильный телефон
- мобильное устройство
- Месяц
- БОЛЕЕ
- много
- должен
- Возле
- сеть
- сетей
- никогда
- Новые
- следующий
- нет
- сейчас
- окт
- октябрь
- of
- Офис
- on
- ONE
- только
- Возможность
- or
- организации
- Другое
- наши
- внешний
- за
- часть
- особый
- партнер
- Пароль
- Управление паролями
- мимо
- оплата
- страна
- Персонализированные
- ФИЛ
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Много
- сборах
- политика
- возможное
- После
- потенциально
- мощный
- практика
- довольно
- процесс
- Процессы
- Программы
- защищенный
- защиту
- Недвижимости
- что такое варган?
- положил
- САЙТ
- вполне
- привлечение
- на самом деле
- Регулирующие органы
- расслабленной
- соответствующие
- остатки
- удаленные
- Reporting
- Запросы
- Снижение
- рисках,
- надежный
- роли
- дорога
- маршрутизатор
- Run
- безопасный
- то же
- Сектора юридического права
- безопасность
- Безопасность
- политики безопасности
- сессиях
- набор
- должен
- просто
- моделирование
- So
- Соцсети
- Социальная инженерия
- социальные сети
- пролеты
- конкретный
- Персонал
- начинается
- Шаг
- прилипание
- По-прежнему
- Стратегия
- укрепление
- сильный
- успех
- такие
- лето
- поставщик
- безусловно,
- тактика
- взять
- цель
- целевое
- Технический
- снижения вреда
- срок
- текст
- чем
- Спасибо
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- вещи
- think
- этой
- угроза
- угрозы
- время
- раз
- в
- сегодня
- слишком
- инструменты
- топ
- Темы
- Обучение
- перевод
- под
- К сожалению
- Обновление ПО
- Updates
- использование
- Информация о пользователе
- пользователей
- через
- обычно
- различный
- с помощью
- Жертва
- жертвы
- Режимы
- водонепроницаемый
- Путь..
- способы
- we
- ЧТО Ж
- Что
- когда
- будь то
- который
- Wi-Fi
- будете
- Работа
- работать из дома
- рабочие
- работает
- работать из дома
- Мир
- мире
- год
- Ты
- ВАШЕ
- зефирнет