Cyberkriminalitet er blevet mere organiseret og sofistikeret end nogensinde før, hvilket gør det afgørende for enhver organisation at kommunikere risici som f.eks. phishing effektivt i hele organisationen.
Ifølge en undersøgelse er de samlede årlige omkostninger ved cyberkriminalitet for en organisation steget fra 11,7 millioner dollars i 2017 til et rekordhøjt niveau på 13 millioner dollars.
Det er også veldokumenteret, at medarbejdernes uagtsomhed har været skyld i nogle af de værste cyberbrud i historien. Faktisk er det blevet rapporteret, at 90 % af alle cyberangreb skyldes menneskelige fejl. Sådanne statistikker understreger udbredelsen af de sikkerhedstrusler, som organisationer står over for, og behovet for at sikre cybersikkerheds-awareness på alle niveauer.
Ved at tage de rigtige skridt til at forbedre medarbejdernes cybersikkerheds-awareness kan organisationer hjælpe med at uddanne og sætte medarbejderne i stand til at ændre deres adfærd og beskytte organisationen mod potentielle risici.
Læs mere: Hvorfor er det vigtigt med træning i sikkerhedsbevidsthed?
Her er ti praktiske tips, der kan hjælpe dig med at skabe den mest effektive cybersikkerheds-awareness-kampagne i din organisation.
Start med CEO-lederskab
Cybersikkerhed får endelig den opmærksomhed, den fortjener i bestyrelseslokalet. I takt med at antallet af højt profilerede databrud fortsat stiger, er der blevet lagt større vægt på at styre cyberrisikoen for at reducere risikoen for et angreb.
Cybersikkerhed er alles ansvar, men modstandsdygtige organisationer kræver en stærk CEO-ledelse. Hvis den administrerende direktør tager cybersikkerhed alvorligt, vil dette smitte af på hele organisationen og bidrage til at skabe en kultur med øget cyber-awareness.
Kend dine organisatoriske tolerancer
For at skabe et effektivt cybersikkerheds-awareness-program skal din organisation evaluere trusselslandskabet og identificere de største risici. På den måde får du en bedre forståelse af de reelle trusler, der kan kompromittere din organisations sikkerhed.
Din risikotolerance skal defineres fra starten, så du kan implementere de korrekte sikkerhedsforanstaltninger baseret på de faktiske trusler, du står over for. På den måde undgår du, at ressourcerne bliver rettet mod trusler, der sandsynligvis ikke vil opstå, eller som vil have ringe eller ingen indvirkning på din organisation.
Hvis du tager dig tid til at identificere risiciene korrekt, kan det være med til at forme budskaberne, leveringen og den effektive målretning af dit cybersikkerheds-awareness-program.
Beskyt dine informationsaktiver
For at udvikle en omfattende cybersikkerhedsstrategi og effektivt identificere risici skal du gennemføre en grundig revision af din organisations informationsaktiver.
Et informationsaktiv er en oplysning, der er værdifuld for din organisation. Det kan omfatte personhenførbare oplysninger (PII), finansielle oplysninger, intellektuel ejendom eller andre oplysninger, der er vigtige for din organisation.
Du skal fastslå, hvad de mest værdifulde informationsaktiver er, hvor de er placeret, og hvem der har adgang til dem. Hvert aktiv skal klassificeres (f.eks. offentligt, privat eller fortroligt) og beskyttes på grundlag af dets værdi. Det er afgørende at gøre dette, når man skal identificere risici og prioritere de områder, der skal beskyttes.
Når du har identificeret disse områder, kan du fokusere på, hvordan hvert enkelt informationsaktiv potentielt kan blive kompromitteret. Uanset om der er tale om et systembrud, malware eller endda en insidertrussel, kan du tage informerede skridt til at forbedre disse processer og reducere risikoen for, at en cyberkriminel får adgang til kritiske systemer.
Fokusér på højrisikogrupper
Nøglen til et effektivt cybersikkerheds-awareness-program er at sikre, at den rigtige uddannelse er målrettet de rigtige personer. Alle brugere er modtagelige for cybertrusler, men visse medarbejdere har en højere trusselsprofil end andre. F.eks. vil dine HR- og finansafdelinger ofte være mål for trusler på grund af deres privilegerede adgang til følsomme data.
Din administrerende direktør, CFO og dine ledende medarbejdere er også populære mål på grund af deres adgang til værdifulde organisationsoplysninger på højt niveau. Hvis en højtstående leder falder for svindelnummeret, kan det få katastrofale følger og underminere hele din organisations sikkerhed.
Gør det engagerende med effektiv storytelling
Historiefortælling er en af de mest effektive måder at give liv til din kampagne om cybersikkerhed. Indrøm det, cybersikkerhed kan være et tørt emne, men det er vigtigt, at du finder måder at engagere dine medarbejdere på, hvis du ønsker at påvirke adfærden i din organisation i positiv retning. Budskabet er simpelthen for vigtigt til at gå tabt i formel organisationskommunikation.
Historier er grundlæggende for den måde, folk lærer på; de er med til at skabe en følelsesmæssig reaktion, som gør det lettere at huske det, der bliver lært. Ved at gøre historien relevant for slutbrugeren øger du i høj grad chancen for, at denne person husker informationen og dermed forbedrer din organisations overordnede sikkerhedssituation.
Få din politikforvaltning opdateret
Politikker er afgørende for at fastlægge grænser for adfærd for enkeltpersoner, processer, relationer og transaktioner i din organisation. De udgør en ramme for styring, identificerer risici og hjælper med at definere overholdelse, hvilket er vigtigt i det stadig mere komplekse lovgivningsmæssige landskab i dag.
Et effektivt system til forvaltning af politikker er et system, der har en konsekvent metode til at oprette politikker, som giver struktur til organisationens procedurer og gør det lettere at spore attestering og medarbejdernes svar. Som et resultat heraf kan dette system hjælpe dig med at strømline interne processer, demonstrere overholdelse af lovkrav og effektivt målrette de områder, der udgør den største risiko for datasikkerheden.
Begynd at forberede dig på et databrud nu
Hvis du ikke er begyndt at forberede dig på et brud på datasikkerheden, er det nu, du skal begynde. Milliarder af fortrolige data er blevet afsløret, og ifølge IBM er de globale gennemsnitlige omkostninger ved et databrud steget til svimlende 3,92 millioner dollars.
Spørgsmålet er ikke "om" din organisation vil blive angrebet, men "hvornår" den vil blive ramt af en af de mange cybertrusler i det hastigt voksende trusselslandskab. Du skal begynde at forberede dig på det uundgåelige og udarbejde en plan, der sikrer, at der træffes passende foranstaltninger, når sikkerheden bliver brudt.
Ved at etablere en effektiv responsplan kan man uddanne og informere personalet, forbedre organisationsstrukturerne, øge kundernes og interessenternes tillid og reducere potentielle økonomiske skader eller skader på omdømme efter et brud.
Du skal jævnligt teste din plan for reaktion på databrud for at identificere eventuelle svagheder og sikre, at alle i dit team forstår deres ansvar, både i forbindelse med forberedelse af og reaktion på et brud på datasikkerheden.
Udnævn Cyber Security Champions
Cybersikkerhed er ikke kun et spørgsmål om teknologi. Dine medarbejdere spiller en vigtig rolle i forsvaret af din organisation og i identifikationen af trusler, der kan true din sikkerhed.
At udnævne Cyber Security Champions er en god måde at styrke medarbejderne på og give dem de nødvendige færdigheder til at forebygge et cyberangreb.
Cyber Security Champions behøver ikke at være tekniske eksperter; at få fat i dem handler om at tilføje det menneskelige præg til din sikkerhedsstrategi og få hjælp fra medarbejdere, der er engageret i at øge awareness om cybersikkerhed og implementere god praksis i hele organisationen.
Undersøg din forsyningskæde
For mange organisationer er det svageste led i deres cybersikkerhedsforsvar deres forsyningskæde. I stedet for at angribe en organisation direkte vil cyberkriminelle forsøge at kompromittere en organisations kritiske netværk og systemer ved at udnytte huller i dens forsyningskædeprocesser og -systemer.
Forsyningskæder er en vigtig del af forretningsaktiviteterne, men ofte er disse netværk store og forskelligartede og strækker sig over en lang række forskellige lande. Disse leverandører har typisk ikke de samme robuste cybersikkerhedsforsvar på plads, hvilket betyder, at de har mange svage punkter, som cyberkriminelle kan udnytte.
Alle leverandører, der har forbindelse til din organisation, udgør en potentiel risiko, så det er vigtigt, at du foretager detaljerede risikovurderinger af tredjeparter for at løse eventuelle problemer, der kan udgøre en trussel mod din sikkerhed. Ved at gøre det kan du hjælpe med at afgøre, hvilke sikkerhedsforanstaltninger der skal indføres for at beskytte dine data.
Gennemførelse af passende tilsyn og regelmæssige revisioner
Trusselslandskabet udvikler sig hele tiden, så dit cybersikkerheds-awareness-program skal udvikle sig i takt med det. Det er vigtigt at foretage regelmæssige undersøgelser af medarbejdernes beredskab for at identificere områder med svagheder og fastslå, om de nuværende politikker og den nuværende uddannelse skal opdateres.
For at skabe compliance er det bedste praksis at dokumentere resultaterne af alle gennemgange og sørge for at handle på alle anbefalinger til risikobegrænsning. Uden disse regelmæssige revisioner afspejler dit cybersikkerheds-awareness-program måske ikke trusselslandskabet og kan gøre din organisation sårbar over for angreb.
Yderligere læsning: Hvorfor cybersikkerheds-awareness-træning er vigtigere end nogensinde før
Automatisér dit cybersikkerheds-awareness-program
MetaCompliance har over 12 års erfaring med at hjælpe vores kunder med at udvikle og implementere cybersikkerheds-awareness-programmer, der virker. I den tid har vi udviklet en verdensledende SaaS-løsning, der indeholder alle de nødvendige funktioner til at engagere brugerne, yde forsvar mod cybertrusler og levere rapportering til myndighederne.
MyCompliance-pakken automatiserer livscyklussen for de årlige kampagner for cyber-awareness-træning i din organisation, hvilket hjælper med at spare tid og give øget beskyttelse.
