Det er vigtigt at tilbyde sikkerhedsuddannelse til dit finansteam for at hjælpe dem med at forstå de risici, der er forbundet med finansielle data og transaktioner, og forhindre potentielle sikkerhedsbrud.
I december 2021 foretog enhacker, der udgav sig for at være direktørfor et fransk metalfirma, et telefonopkald til virksomhedens revisor og fik denne til at sende en "hastende og fortrolig overførsel" på 300.000 EUR (264.000 £) til en svindlers bankkonto. Banden bag denne BEC-svindel (Business Email Compromise) stjal omkring 40 millioner dollars (33 millioner pund), inden de blev fanget af Europol. Denne type svindel er et stigende problem for en organisations finansielle afdeling og udgør en stor risiko for informationssikkerheden.
Det finansielle team i en organisation har altid tiltrukket cyberkriminelle, fordi det holder virksomhedens pengepung i hånden, og cyberkriminelle følger pengene. Derfor må alle på finansholdet blive et potentielt mål for svindlere og svindlere. Ransomware-angreb, BEC/CEO-svindel og cybertrusler, der høster loginoplysninger, er alle en del af de øgede risici, der er forbundet med en finansafdeling og dens teammedlemmer.
Træning i sikkerhedsbevidsthed for finansteams er afgørende for at tackle menneskeligt betingede svindelnumre som BEC-svindel. Her er MetaCompliance's bedste praksis til at sikre, at dit finansteam er opmærksom på de risici, der er forbundet med deres roller.
Fem bedste fremgangsmåder til at levere træning i sikkerhedsbevidsthed til dit finansteam
Finansholdet er som en let skydefugle, medmindre din sikkerhedsbevidsthed fokuserer på de specifikke risici, de står over for. Her er vores fem bedste metoder til at sikre, at din sikkerhedsuddannelse er effektiv:
Fokus på trusler med høj risiko for finansafdelingen
Finansholdet er udsat for specifikke sårbarheder, da de kan overføre penge eller har privilegerede loginoplysninger med adgang til finansielle oplysninger. Dette magtniveau, som finansholdet har i en organisation, betyder, at specifikke trusler er mere tilbøjelige til at ramme denne afdeling. Derfor er et program til uddannelse i sikkerhedsbevidsthed mest effektivt, når det er skræddersyet til specifikke roller i en organisation, og et medlem af finansteamet er en sådan rolle.
Rollebaseret træning i sikkerhedsbevidsthed tager fat på specifikke typer trusler mod bestemte medarbejderroller. Opret et rollebaseret program for sikkerhedsbevidsthedstræning, der bygger på grundlæggende sikkerhedsbevidsthed ved at fokusere på de typer risici og trusler, som et medlem af et finansteam eller en afdeling sandsynligvis vil opleve, herunder følgende:
- Business Email Compromise (BEC): Undervis medarbejderne om, hvordan dette sofistikerede cyberangreb i flere faser udføres. Sørg for, at de forstår, hvordan cyberangriberne bruger social engineering til at narre dem til at tro, at de er en ledende medarbejder på C-niveau eller en vigtig leverandør.
- Fakturasvindel: involverer typisk, at en virksomheds leverandør bliver kompromitteret, men er også en delmængde af BEC-svindel. Svindlere udgiver sig derefter for at være fra leverandøren og anmoder om betaling af en faktura.
- CEO-svindel: En anden variant af BEC-svindel, hvor svindlere udgiver sig for at være en direktør på C-niveau for at narre finansfolkene til at betale en falsk faktura. Ofte hacker eller forfalsker svindlerne en e-mail-konto på højt niveau.
- Lønomlægningssvindel: Svindlere udgiver sig for at være en ansat og anmoder lønningsafdelingen om at ændre deres kontooplysninger, så deres løn udbetales til svindlerne.
Opbyg Phishing-simuleringer, der afspejler risiciene for finansteams
Det britiskeICO har for nylig givet Interserve Group Limited en bøde på4,4 millioner pund for ikke at have anvendt passende sikkerhedsforanstaltninger til at forhindre et cyberangreb; angrebet begyndte med en phishing-mail, der blev sendt til en medarbejder i regnskabsafdelingen. En række begivenheder, såsom download af den ondsindede vedhæftede fil i e-mailen og manglende overholdelse af virksomhedens sikkerhedsprotokoller, resulterede i tab af følsomme personoplysninger for 113 000 medarbejdere. Selv med anti-phishing-gateways slipper phishing-meddelelser igennem, da cyberkriminelle er innovative for at undgå opdagelse.
Phishing-simuleringsøvelser, der er skræddersyet til den type risici, som finansholdet er udsat for, er et must i effektiv træning i sikkerhedsbevidsthed. Nogle avancerede phishing-simuleringsplatforme tilbyder en række forskellige phishing-skabeloner, som du kan bruge til at skræddersy dine phishing-træningsøvelser til at opfylde behovene hos dit team i finansafdelingen.
Opret rollespilsscenarier
Finansielle teams er udsat for risiko for Business Email Compromise og andre relaterede typer af mangefacetteret svindel, der anvender social engineering. For at sikre, at træning i sikkerhedsbevidsthed er effektiv, skal du skabe scenarier, hvor typiske faser af et finansielt svindelnummer udspiller sig sammen med finansteamet, så de kan begynde at genkende de tricks, som svindlere bruger. Rollebaserede scenarier bør anvendes sammen med traditionel Security Awareness Training og simulerede phishing-øvelser for at fremhæve de komplekse manipulationer, som svindlere bruger.
Glem ikke sikkerhedshygiejne
Finansafdelingen tager sig ikke kun af penge, den har også følsomme finansielle og personlige data. IVerizon 2022 Data Breach Investigations Report(DBIR) blev det konstateret, at en række menneskelige fejl forårsagede cyberangreb og førte til eksponerede data.
Ifølge rapporten var menneskelige fejl skyld i 82 % af databruddene. Fejlene omfattede forkert levering af e-mails, f.eks. ved at sende data i en e-mail til den forkerte person. Så når du uddanner finansielle teams i deres rolle i forbindelse med sikkerhed, skal du huske detaljerne, f.eks. at sikre, at modtagerlisterne for e-mails kontrolleres, før vigtige oplysninger sendes.
Udvid sikkerhedsbevidstheden til at omfatte fjernarbejdere i finansteamet
Det britiskeOffice for National Statistics(ONS) fandt ud af, at 38 % af de ansatte sagde, at de havde arbejdet hjemmefra på et tidspunkt i løbet af de sidste syv dage. Medarbejdere i finansafdelingen vil sandsynligvisgerne arbejde hjemmefra, da undersøgelser viser, at denne faktor er afgørende for fastholdelse af medarbejdere. Fremkomsten af firedagesugen vil sandsynligvis også betyde, at fjernarbejde og hybridarbejde fortsat vil være et populært middel til at tiltrække talenter.
Når du opretter en kampagne for sikkerhedsuddannelse, der er rettet mod medlemmer af finansteamet, skal du sikre, at du uddanner medarbejderne i sikkerhedsrisici ved fjernarbejde. Inddrag elementer som f.eks. medarbejderens rolle i forbindelse med overholdelse af lovgivningen og sikkerhedshygiejneproblemer som f.eks. brug af sikre gateways og VPN'er.
Ved at bruge disse bedste praksis for sikkerhedsbevidsthed og fokusere på de unikke udfordringer, der er forbundet med at arbejde i et finansteam, kan din virksomhed reducere risikoen for snigende og kostbare forbrydelser som BEC-svindel.