Безпека бізнесу
Знання — це потужна зброя, яка може допомогти вашим співробітникам стати першою лінією захисту від загроз
19 жовтня 2023 • , 5 хв. читати
Цього жовтня знову Місяць обізнаності про кібербезпеку (CSAM). Це ініціатива з підвищення обізнаності, яка охоплює як споживчий, так і корпоративний світ, хоча є багато перехресних: зрештою, кожен працівник також є споживачем. Насправді, оскільки ми все частіше працюємо з дому чи нашого улюбленого віддаленого робочого місця, межі ніколи не були такими розмитими. Водночас, на жаль, ризики компромісу ще ніколи не були настільки гострими.
Побудова більш кібербезпечного світу починається тут. Тож що ІТ-боси мають включити у свої програми підвищення обізнаності про безпеку зараз і у 2024 році? Важливо переконатися, що ви маєте справу з кіберзагрози сьогодні і завтра, а не ризики минулих років.
Чому навчання має значення
За оцінками Verizon, три чверті (74%) усіх глобальних порушень за минулий рік включають «людський фактор», який у багатьох випадках означав помилку, недбалість або користувачів стати жертвою фішингу та соціальна інженерія. Навчання з безпеки та програми підвищення обізнаності є важливим способом пом’якшення цих ризиків. Але немає швидкого і легкого шляху до успіху. Насправді вам слід шукати не стільки навчання чи підвищення обізнаності, оскільки про те й інше можна з часом забути. Йдеться про довгострокову зміну поведінки користувачів.
Що може статися тільки якщо ви запускаєте програми безперервно, щоб навчання завжди було на увазі. І переконайтеся, що ніхто не пропустить — це означає, що включно з тимчасовими працівниками, підрядниками та керівниками C-рівня. Будь-хто може стати мішенню, і може знадобитися лише одна помилка, щоб потенційно впустити поганих хлопців. Крім того, запускайте сеанси невеликими шматками, щоб мати більше шансів, що повідомлення затримаються. І, де це можливо, включити моделювання або вправи з гейміфікації створити особливу загрозу для життя.
Як ми згаданих раніше, уроки можна навіть персоналізувати для конкретних ролей і секторів, щоб зробити їх більш відповідними для людини. І методи гейміфікації можуть бути корисним доповненням, щоб зробити навчання більш активним і привабливим.
3 області для включення зараз і в 2024 році
Оскільки ми наближаємося до кінця 2023 року, варто подумати про те, що включити в програми наступного року. Зверніть увагу на наступне:
1) BEC і фішинг
Компроміс ділової електронної пошти (BEC) шахрайство, яке використовує цільові фішингові повідомлення, залишається однією з найбільш прибуткових категорій кіберзлочинів. У випадках повідомили у ФБР минулого року жертви втратили понад 2.7 мільярда доларів. Це злочин, який в основному ґрунтується на соціальній інженерії, як правило, обманом змушуючи жертву схвалити корпоративний переказ коштів на рахунок під контролем шахрая.
Існують різні методи, за допомогою яких вони досягають цього, наприклад, видаючи себе за генерального директора чи постачальника, і їх можна акуратно вставити в вправи з усвідомлення фішингу. Це слід поєднати з інвестиціями в розширену безпеку електронної пошти, надійні платіжні процеси та повторну перевірку будь-яких платіжних запитів.
Фішинг як такий існує десятиліттями, але все ще є одним із найпопулярніших векторів початкового доступу до корпоративних мереж. А завдяки відволіканню домашніх і мобільних працівників погані хлопці мають ще більше шансів досягти своїх цілей. Але в багатьох випадках тактика змінюється, а тому також необхідно вправлятися з фішингом. Саме тут симуляції в реальному часі дійсно можуть допомогти змінити поведінку користувачів. У 2024 році розгляньте можливість включення вмісту про фішинг через текстові повідомлення або програми для обміну повідомленнями (розмивання), голосові дзвінки (бідність) і нові методи, такі як обхід багатофакторної автентифікації (MFA).
Конкретні тактики соціальної інженерії змінюються надзвичайно часто, тому доцільно співпрацювати з постачальником навчальних курсів, який може відповідним чином оновлювати свій вміст.
2) Безпека віддаленої та гібридної роботи
Експерти давно попереджають, що працівники частіше ігнорують інструкції/політику безпеки або просто забувають про них, працюючи вдома. Один вчитися виявили, що 80% працівників визнали, що, наприклад, робота вдома по п’ятницях влітку робить їх більш розслабленими та відволікається. Це може наражати їх на підвищений ризик компрометації, особливо коли домашні мережі та пристрої можуть бути менш захищені, ніж корпоративні еквіваленти. І саме тут повинні вступити навчальні програми з порадами щодо оновлень системи безпеки для ноутбуків, керування паролями та використання лише пристроїв, схвалених компанією. Це має відбуватися разом із навчанням поінформованості про фішинг.
Далі, гібридна робота стала нормою для багатьох компаній сьогодні. Один дослідження претензій 53% зараз мають поліс, і ця цифра, безумовно, зростатиме. Однак поїздка на роботу в офіс або робота в громадському місці має свої ризики. Одна з них – це загрози з публічних точок доступу Wi-Fi, які можуть наражати мобільних працівників на атаки противника посередині (AitM), де хакери отримують доступ до мережі та підслуховують дані, що передаються між підключеними пристроями та маршрутизатором, а також загрози «злих близнюків». де зловмисники встановлюють дублікат точки доступу Wi-Fi, яка маскується під законну, у певному місці.
Існує також менше «високотехнологічних» ризиків. Навчальні заняття можуть стати гарною можливістю нагадати персоналу про небезпеку плечовий серфінг.
3) Захист даних
Штрафи GDPR збільшений 168% щорічно до понад 2.9 млрд євро (3.1 млрд дол. США) у 2022 році, оскільки регулятори вжили жорстких заходів щодо недотримання вимог. Це є досить серйозним аргументом для організацій, щоб гарантувати, що їхній персонал правильно дотримується політики захисту даних.
Регулярне навчання є одним із найкращих способів зберегти в пам’яті найкращі практики обробки даних. Це означає використання надійного шифрування, ефективне керування паролями, безпеку пристроїв і негайне повідомлення про будь-які інциденти відповідному контакту.
Співробітники також можуть отримати користь від оновлення у використанні сліпого копіювання (BCC), поширеної помилки, яка призводить до ненавмисного витоку даних електронної пошти, та іншого технічного навчання. І вони завжди повинні думати про те, чи слід зберігати конфіденційність того, що вони публікують у соціальних мережах.
Навчання та курси підвищення обізнаності є важливою частиною будь-якої стратегії безпеки. Але вони не можуть працювати ізольовано. Організації також повинні мати жорстку політику безпеки, яка забезпечується надійними засобами контролю та інструментами, як-от керування мобільними пристроями. «Люди, процеси та технології» — це мантра, яка допоможе побудувати більш кіберзахищену корпоративну культуру.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
- : має
- :є
- : ні
- :де
- $3
- $UP
- 2022
- 2023
- 2024
- 7
- a
- МЕНЮ
- доступ
- відповідно
- рахунки
- Achieve
- досягнення
- доповнення
- зізнався
- просунутий
- рада
- після
- знову
- проти
- ВСІ
- пліч-о-пліч
- Також
- хоча
- завжди
- an
- та
- Щорічно
- будь-який
- будь
- додатка
- ЕСТЬ
- області
- навколо
- AS
- At
- нападки
- Authentication
- обізнаність
- поганий
- BE
- BEC
- ставати
- було
- поведінки
- користь
- КРАЩЕ
- Краще
- між
- Мільярд
- босів
- обидва
- порушення
- приносити
- будувати
- підприємства
- але
- by
- Виклики
- CAN
- вуглець
- випадок
- випадків
- категорії
- Категорія
- Генеральний директор
- шанс
- зміна
- заміна
- комбінований
- Приходити
- загальний
- комутуватися
- компроміс
- підключений
- Вважати
- споживач
- контакт
- зміст
- постійно
- підрядники
- контроль
- управління
- Корпоративний
- правильно
- може
- Курс
- курси
- тріщини
- Злочин
- злочинці
- критичний
- культура
- кіберзлочинності
- Кібербезпека
- Небезпеки
- дані
- захист даних
- справу
- десятиліття
- оборони
- пристрій
- прилади
- вниз
- легко
- елемент
- піднесений
- безпека електронної пошти
- Співробітник
- співробітників
- уповноважувати
- шифрування
- кінець
- залучення
- Машинобудування
- забезпечувати
- еквіваленти
- помилка
- особливо
- Навіть
- Кожен
- приклад
- керівництво
- надзвичайно
- факт
- Улюблений
- Рисунок
- кінець
- Перший
- після
- для
- знайдений
- шахрайство
- часто
- П'ятниця
- від
- перед
- фонд
- принципово
- Гейміфікація
- Глобальний
- Цілі
- добре
- Рости
- хакери
- Обробка
- Мати
- допомога
- тут
- Головна
- Hotspot
- Однак
- HTTPS
- гібрид
- ідея
- if
- ігнорувати
- негайно
- важливо
- in
- включати
- У тому числі
- включення
- все більше і більше
- індивідуальний
- початковий
- Ініціатива
- в
- інвестиції
- ізоляція
- IT
- ЙОГО
- JPG
- просто
- тільки один
- тримати
- зберігання
- збережений
- ноутбуки
- останній
- Минулого року
- Веде за собою
- Витоку
- законний
- менше
- Уроки
- дозволяти
- важелі
- життя
- як
- Ймовірно
- Лінія
- ліній
- LINK
- жити
- розташування
- Довго
- шукати
- втрачений
- зробити
- РОБОТИ
- управління
- Мантра
- багато
- макс-ширина
- Може..
- засоби
- означав
- Медіа
- повідомлення
- обмін повідомленнями
- методика
- МЗС
- може бути
- хвилин
- mind
- промахів
- помилка
- Пом'якшити
- Mobile
- мобільний пристрій
- місяць
- більше
- багато
- повинен
- Близько
- мережу
- мереж
- ніколи
- Нові
- наступний
- немає
- зараз
- жовтень
- жовтень
- of
- Office
- on
- ONE
- тільки
- Можливість
- or
- організації
- Інше
- наші
- з
- над
- частина
- приватність
- партнер
- Пароль
- Керування паролем
- Минуле
- оплата
- країна
- Персоналізовані
- ФІЛ
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- Plenty
- Політика
- політика
- це можливо
- пошта
- потенційно
- потужний
- практика
- досить
- процес
- процеси
- програми
- захищений
- захист
- Постачальник
- громадськість
- put
- Швидко
- досить
- залучення
- насправді
- Регулятори
- розслабленою
- доречний
- залишається
- віддалений
- Звітність
- запитів
- Risk
- ризики
- міцний
- ролі
- Маршрут
- маршрутизатор
- прогін
- сейф
- то ж
- Сектори
- безпеку
- Питання охорони судна
- політики безпеки
- сесіях
- комплект
- Повинен
- просто
- моделювання
- So
- соціальна
- Соціальна інженерія
- соціальні медіа
- прольоти
- конкретний
- Персонал
- починається
- Крок
- прилипання
- Як і раніше
- Стратегія
- зміцнення
- сильний
- успіх
- такі
- літо
- постачальник
- напевно
- тактика
- Приймати
- Мета
- цільове
- технічний
- методи
- термін
- текст
- ніж
- Дякую
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- речі
- думати
- це
- загроза
- загрози
- час
- times
- до
- сьогодні
- занадто
- інструменти
- топ
- теми
- Навчання
- переклад
- при
- на жаль
- Оновити
- Updates
- використання
- користувач
- користувачі
- використання
- зазвичай
- різний
- через
- Жертва
- жертви
- Голос
- Водонепроникний
- шлях..
- способи
- we
- ДОБРЕ
- Що
- коли
- Чи
- який
- Wi-Fi
- волі
- з
- Work
- працювати вдома
- робочі
- робочий
- працюючи з дому
- світ
- світі
- рік
- Ти
- вашу
- зефірнет