I nutidens hurtigt udviklende digitale landskab står organisationer over for en lang række cybersikkerhedstrusler. Selvom der lægges stor vægt på at uddanne medarbejderne i at genkende og afbøde disse risici, er der en ofte overset gruppe med betydelige potentielle sårbarheder - ikke-medarbejdere. Disse personer, såsom entreprenører, leverandører og partnere, har adgang til følsomme oplysninger eller systemer, hvilket gør dem til attraktive mål for cyberkriminelle.
I denne artikel kaster vi lys over de sikkerhedsrisici, som ikke-medarbejdere udgør, og understreger den kritiske rolle, som Security Awareness Training spiller for at styrke virksomheder ud over deres arbejdsstyrke.
Insidertruslen: Ud over de ansatte
2023 Data Breach Investigations Report afslørede, at 19% af databruddene var forårsaget af insidertrusler. Når vi hører udtrykket "insidere", er det let at antage, at det udelukkende refererer til medarbejdere i en organisations netværk. Men insidertrusler rækker langt ud over medarbejderne alene. Entreprenører, leverandører og partnere kan også udgøre en trussel mod en virksomheds sikkerhed. Hele 41% af insidertruslerne blev begået af partnere eller entreprenører, hvilket understreger den betydelige risiko, disse eksterne enheder udgør.
Forstå de risici, ikke-medarbejdere står over for
Ikke-medarbejdere kan have forskellige niveauer af kendskab til en organisations sikkerhedsprotokoller og mangler det samme niveau af cybersikkerhedsekspertise som faste medarbejdere. Denne videnskløft gør dem sårbare over for social engineering-angreb, phishing-forsøg og andre cybertrusler.
Med adgang til kritiske virksomhedsressourcer, herunder databaser, kundeoplysninger og intellektuel ejendom, kan de bruge deres egne enheder eller få adgang til data via offentlige netværk, hvilket skaber potentielle sikkerhedssårbarheder. Et eksempel fra det virkelige liv på de ødelæggende konsekvenser af et sådant brud er T-Mobile, som blev udsat for et massivt databrud i januar 2023, da hackere fik adgang via en tredjepartsleverandør, hvilket påvirkede over 40 millioner kunder.
Den afgørende rolle for træning i sikkerhedsbevidsthed for ikke-medarbejdere
I henhold til ISO 27001/2 afsnit 7.2.2 "bør alle medarbejdere i organisationen og, hvor det er relevant, entreprenører og tredjepartsbrugere modtage passende bevidsthedstræning og regelmæssige opdateringer i organisationens politikker og procedurer, som er relevante for deres jobfunktion".
Hvis man tilbyder Security Awareness Training til ikke-medarbejdere, kan man reducere antallet af cybersikkerhedshændelser betydeligt. Når de er udstyret med den nødvendige viden og de nødvendige færdigheder, bliver disse personer en ekstra forsvarslinje mod cyberangreb, hvilket mindsker sandsynligheden for brud på sikkerheden og kompromittering af data.
At udvide Security Awareness Training til ikke-medarbejdere forbedrer en organisations overordnede sikkerhedstilstand ved at omfatte alle personer med adgang til ressourcer. At skabe en robust sikkerhedskultur og fremme ansvar og bevidsthed blandt både medarbejdere og ikke-medarbejdere fremmer en kollektiv indsats for at beskytte kritiske aktiver, hvilket styrker det overordnede sikkerhedslandskab.
Vurdering af eksisterende træningsprogrammer
Organisationer bør først afgøre, om ikke-ansatte allerede har et Security Awareness Training-program på plads. Det er lige så vigtigt at evaluere effektiviteten af deres eksisterende program. Denne evaluering kan hjælpe med at identificere eventuelle huller eller områder, der kan forbedres, og samtidig sikre, at alle personer med adgang til virksomhedens ressourcer er tilstrækkeligt uddannede.
Læs mere her: Træning i sikkerhedsbevidsthed hos tredjepartsleverandører
Udvidelse af sikkerhedsbevidsthedstræning ud over arbejdsstyrken
For at sikre succes med Security Awareness Training for ikke-medarbejdere bør organisationer overveje følgende:
- Skræddersyet træning: Design træningsprogrammer, der tager højde for de specifikke behov og roller, som ikke-ansatte i organisationen har. Tag fat på de unikke risici, de kan støde på, og giv praktisk vejledning i at undgå og reagere på potentielle trusler.
- Engagerende indhold: Gør træningen interaktiv og engagerende for at fange ikke-medarbejderes interesse og motivation for at lære. Udnyttelse af gamification-teknikker kan bygge bro over videnskløften og øge bevidstheden om cybersikkerhed blandt denne sårbare gruppe.
- Klar kommunikation: Understreg vigtigheden af sikkerhedsbevidsthed, og hvordan det direkte påvirker organisationens succes. Fremhæv det fælles ansvar for at beskytte information.
- Regelmæssig oplæring: Sørg for, at ikke-medarbejdere modtager regelmæssig træning, da folk har en tendens til at glemme vigtige oplysninger med tiden. En undersøgelse foretaget af USENIX om effektiviteten af Security Awareness Training afslørede, at medarbejderne bevarede viden fra deres første træning i cirka fire måneder. Men efter seks måneder var deres evne til at spotte phishing-mails faldet betydeligt.
Konklusion
Prioritering af Security Awareness Training for ikke-ansatte er afgørende for, at organisationer kan styrke deres overordnede cybersikkerhed, afbøde insidertrusler og beskytte følsomme data mod potentielle brud. Ved at udbrede sikkerhedstræningen til andre end medarbejderne sikrer man, at alle personer med adgang til virksomhedens ressourcer er godt rustet til at forsvare sig mod cybertrusler. Ved at fremme en kollektiv indsats for at beskytte kritiske aktiver kan organisationer styrke deres forsvar mod cyberkriminelle og beskytte deres omdømme, konkurrencefordel og finansielle stabilitet.