Menneskelig risiko i forbindelse med cybersikkerhed er en voksende bekymring, og mange undersøgelser viser, at menneskelige fejl, hvad enten de er tilsigtede eller utilsigtede, er en hovedårsag til sikkerhedsbrud. Ifølge forskning fra Stanford University og Tessian skyldes 88 % af alle databrud medarbejderfejl. Menneskers involvering i cybersikkerhedskæden er en betydelig risikofaktor, da organisationer ofte har anekdotiske beviser på, at menneskelige fejl har indflydelse på sikkerhedshændelser. For effektivt at afbøde disse trusler skal organisationer tackle risici i forbindelse med personaleledelse ved at adressere sårbarheder ikke kun blandt medarbejdere, men også ikke-medarbejdere.
Denne guide udforsker de forskellige typer af menneskelige risici i en organisation og tilbyder strategier til at reducere disse risici med fokus på at opbygge en sikker og modstandsdygtig arbejdsstyrke.
At fejle er menneskeligt: Definition af menneskelig risiko
Det er vigtigt at definere, hvad "menneskelig fejl" betyder, når man skal finde ud af, hvordan man minimerer risikoen for en menneskeskabt sikkerhedsfejl.
Menneskelige fejl kan groft sagt opdeles i to områder:
Tilsyn
Fejl og fejl sker, og når de sker, øges truslen mod en organisation. Et typisk eksempel på en fejl er en medarbejder, der ved et uheld sender en e-mail med følsomme oplysninger til den forkerte person, også kaldet fejllevering af en e-mail.
Et andet eksempel på en forglemmelse er fejlkonfiguration af en cloud-komponent, f.eks. en database. Et andet eksempel er at tro, at det er i orden at dele en adgangskode med en kollega. Overvågning dækker det generelle område, hvor medarbejderne håndterer følsomme data forkert, hvilket kan føre til manglende overholdelse af reglerne, bøder og tab af kundernes tillid.
Bedrag
Social engineering-svindel øger den menneskelige risiko i en organisation. Social engineering-svindel, f.eks. phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links, kan øge den menneskelige risiko i en organisation.
Et andet eksempel på en medarbejder, der bliver narret af en ondsindet aktør, er Business Email Compromise (BEC), et svindelnummer, hvor en cyberkriminel narrer medarbejdere til at betale falske fakturaer. Uanset om en medarbejder bliver snydt eller utilsigtet begår en fejl, kan resultatet være katastrofalt. FBI's internetkriminalitetsenhed, IC3, rapport om BEC-kriminalitet fandt for eksempel, at tab på grund af BEC i 2020 beløb sig til 1,8 milliarder dollars.
For en mere detaljeret diskussion af medarbejdernes rolle i organisationens cybersikkerhed henvises til artiklen Hvad er en Human Firewall, og hvordan bygger man en?, som fremhæver vigtigheden af medarbejderuddannelse og -bevidsthed for at skabe en stærk første forsvarslinje.
Fem strategier til at mindske menneskelig risiko
For at reducere risici i forbindelse med personaleledelse kan organisationer implementere fem vigtige strategier for at forbedre sikkerhedshygiejnen og mindske risikoen for menneskelige fejl:
1) Bryd cyklussen med klik
Medarbejdernes vaner, der er påvirket af brugervenligt UI/UX-design, kan føre til uforsigtige handlinger, som f.eks. at klikke på ondsindede links uden at tænke sig om. For at modvirke dette kan kontrollerede phishing-tests hjælpe med at ændre klikadfærden og opfordre medarbejderne til at være mere forsigtige i deres handlinger.
2) Opbyg en sikkerhedskultur
Cyberrisiko er alles sag. Når man opbygger en cybersikkerhedskultur, bør man fokusere skarpt på områder, der øger risikoen i en virksomhed eller en proces, samtidig med at man er opmærksom på, at der kan være forskellige eller varierende risikoniveauer afhængigt af afdelingen eller endda medarbejderen. Øvelser i at opbygge en cybersikkerhedskultur skal afspejle en virksomheds detaljerede behov, og ved at skabe en kultur med bevidsthed om cybersikkerhed kan du hjælpe med at mindske risikoen gennem viden.
3) Understøtte bedre beslutninger
Mange menneskelige fejl, der fører til øget cyberrisiko, er simpelthen dårlig dømmekraft. Menneskelige fejl dækker over en bred vifte af problemer, der fører til eksponering af data og andre sikkerhedshændelser. Nogle gange handler det simpelthen om, at man ikke har de oplysninger, der skal til for at træffe en god beslutning. Og nogle gange handler det om at få strukturer på plads, så der ikke kan træffes forkerte beslutninger. Sikkerhedshygiejne er et godt eksempel.
En undersøgelse fra Yubico viste, at 69 % af medarbejderne deler deres adgangskoder for at gøre det lettere at få adgang til deres konto. Hvis du vil mindske risikoen for den menneskelige faktor på arbejdspladsen, skal du lære medarbejderne vigtigheden af ikke at dele adgangskoder og understøtte dette ved at håndhæve brugen af anden faktor-autentifikation (2FA) i alle apps, der understøtter 2FA.
4) Cyberhygiejne for at mindske risikoen for menneskelige fejl
At lære medarbejderne om cyberhygiejne giver ekstra vægt til de sikkerhedshygiejneproblemer, der er nævnt ovenfor. Cyberhygiejne dækker en række områder og omfatter en clean desk-politik, der kan håndhæves. Best practice-cyberhygiejne vil minimere online-sikkerhedsrisici og holde IT-systemerne sunde. Det vil også hjælpe med at overholde sikkerhedsstandarder som ISO 27001.
Cyberhygiejne omfatter ikke kun medarbejdere, men også en generel opmærksomhed på IT-systemers sundhedstilstand; det omfatter brug af passende værktøjer til at overvåge potentielle trusler, sikring af, at digitale certifikater opdateres, at patches hurtigt implementeres osv. God praksis for cyberhygiejne indebærer at sikre, at enhver menneskelig fejl i konfigurationen af systemer eller i forretningsprocesser fanges, før den udnyttes.
Du kan læse mere om, hvordan du håndhæver cyberhygiejne og minimerer menneskelige risici, i artiklen Human Risk Management i Cybersikkerhed: Beskyt Din Organisation med Effektive Hygiejnepraksisser.
5) Gør mennesker til en del af din lagdelte tilgang til sikkerhed
Medarbejdere er ofte kilden til en øget cyberrisiko, men det er også her, en organisation kan reducere den menneskelige faktor. Ved at sikre, at medarbejdere og ikke-medarbejdere er en del af en lagdelt tilgang til cybersikkerhed, kan din virksomhed sikre en holistisk de-risking af "mennesker, processer og teknologi".
Ved at involvere alle medarbejdere i uddannelse, fra den administrerende direktør til de senest ansatte, dækker du alle de huller, hvor data kan lække, eller hvor der kan ske sikkerhedsmæssige uheld.
Reducering af risiko i Human Resource Management
Menneskelige fejl og social engineering er fortsat nogle af de største trusler mod en organisations cybersikkerhed. Men ved at tage proaktive skridt - såsom at skabe en stærk sikkerhedskultur, fremme cyberhygiejne og integrere medarbejderne i en robust sikkerhedsramme - kan organisationer reducere deres risici i forbindelse med personaleledelse betydeligt. En velinformeret og engageret arbejdsstyrke er afgørende for at omdanne menneskelig sårbarhed til et strategisk aktiv, der styrker organisationens samlede modstandskraft over for cybertrusler.