Virheitä sattuu, se on väistämätöntä.
Todellisuudessa
kyberturvallisuutta koskevan tietoisuuskampanjan yhteydessä jokainen virhe, olipa se
kuinka pieni tahansa, voi vaikuttaa erittäin haitallisesti
organisaatiosi turvallisuuteen.
Näiden näennäisen viattomien virheiden seuraukset ovat
jatkuvasti esillä lehdistössä, jossa raportoidaan päivittäin tietomurroista, verkkohyökkäyksistä
ja rampauttavista sakoista, joita on määrätty huolimattomista kyberturvallisuuskäytännöistä.
Elämme nyt eri aikakautta, joka vaatii parempaa lähestymistapaa kyberturvallisuuteen. Tietoverkkoturvallisuuskampanjasi ei voi olla pelkkä tylsä yritys rastittaa jokin laatikko. Sen on vähennettävä riskejä, tarjottava todellista suojaa kyberuhkia vastaan ja koulutettava henkilöstöä siitä, miten tärkeää heidän roolinsa on suojella yrityksen arkaluonteisia tietoja.
Voi olla vaikea tietää, mistä aloittaa tai mitkä alueet
aiheuttavat suurimman riskin, mutta tunnistamalla yleisimmät tietoturvaa koskevat
tiedotusvirheet voit alkaa kehittää vankkaa
Tietoturvaa koskevaa tiedotuskampanjaa, jolla suojaudutaan kehittyviltä verkkouhilta ja
noudatetaan tehokkaasti sääntelypuitteita.
Yleisimpiä tietoturvatietoisuuden virheitä ovat muun muassa:
1.Kyberturvallisuuden välinpitämätön lähestymistapa
Monet organisaatiot pitävät kyberturvallisuutta huulillaan, mutta eivät suhtaudu uhkaan riittävän vakavasti. Ne saattavat uskoa, että ne ovat liian pieniä joutuakseen hyökkäyksen kohteeksi tai että rahat voitaisiin sijoittaa muille aloille, joilla sijoitukset tuottavat välittömämpää tuottoa. Nämä oletukset ovat vaarallisia.
Verizon 2019 Data Breach Investigations Report (DBIR) -raportin (Verizon 2019 Data Breach Investigations Report ) mukaan 43 prosenttia kaikista verkkohyökkäyksistä kohdistuu nyt pienyrityksiin. Todellisuudessa verkkorikolliset hyökkäävät yhä useammin pienempiin ja keskisuuriin organisaatioihin, koska niillä on yleensä vähemmän rahaa ja resursseja investoida kyberturvallisuuteen. Otsikoihin nousevat ehkä suuret tuotemerkit, mutta jokainen organisaatio on kohde ja tarvitsee asianmukaiset kyberturvallisuustoimenpiteet hyökkäysten torjumiseksi.
Inhimilliset virheet ovat edelleen kaikkien tietoturvaloukkausten perimmäinen syy, joten on tärkeää, että organisaatiosi toteuttaa tehokkaan tietoturvatietoisuuskampanjan, jossa henkilöstöä koulutetaan tunnistamaan kehittyvät uhat ja reagoimaan niihin asianmukaisesti.
2. Ei selkeitä tavoitteita
Jotta tietoturvatietoisuuskampanja onnistuisi, sinulla on oltava
selkeästi määritellyt tavoitteet, joissa hahmotellaan, mitä toivot saavuttavasi.
tavoitteissasi olisi yksilöitävä ja käsiteltävä ongelmia, joita organisaatiosi
tällä hetkellä kohtaa. Näitä voivat olla esimerkiksi phishing-hyökkäykset, etätyöskentely, salasanojen
turvallisuus, sääntelyyn liittyvät kysymykset tai fyysinen turvallisuus. Tietoverkkorikolliset
etsivät jatkuvasti alueita, joita hyödyntää, joten ellei tietoturvatietoisuuskampanjassasi
tunnisteta asianmukaisesti kaikkia riskialueita, organisaatiosi on altis
hyökkäyksille.
Seuraava vaihe on kohderyhmän tunnistaminen. Organisaatiosi eri työntekijät kohtaavat erilaisia uhkia, joten sen sijaan, että kaikille lähetetään samaa yleistä sisältöä, työntekijöillesi olisi annettava kohdennettua koulutusta, joka on heidän tehtäviinsä liittyvää. Tekemällä yksityiskohtaisen riskinarvioinnin organisaatiosi pystyy paljon paremmin luomaan tietoturvatietoisuuskampanjan, jolla on selkeät tavoitteet ja jota voidaan myöhemmin mitata ja arvioida asianmukaisesti.
3. Tylsä sisältö
Kyberturvallisuuden tiedotuskampanjasi on tuhoon tuomittu, jos pommitat henkilökuntaasi samalla vanhalla tylsällä ja toistuvalla sisällöllä. Kyberturvallisuus on tarpeeksi kuiva aihe ilman, että sitä pahennetaan pitkillä PowerPoint-esityksillä ja yksitoikkoisilla diakansilla, joilla ei ole mitään merkitystä sen hyvin todellisen uhan välittämisessä, jonka kyberrikolliset muodostavat yrityksellesi. Eikä pidä erehtyä, nämä uhat ovat todellisia. Riippumatta koosta, toimialasta tai sijainnista jokainen organisaatio on haavoittuvainen ja joutuu aktiivisesti verkkorikollisten kohteeksi.
Avain tämän riskin pienentämiseen ja tietoverkkoturvallisemman työvoiman luomiseen on kiinnostavan ja merkityksellisen sisällön käyttö. Tarinankerronta on erittäin tehokas tapa vahvistaa kyberturvallisuuden viestejä. Stanfordin yliopiston tutkimuksen mukaan tarinat jäävät jopa 22 kertaa paremmin mieleen kuin pelkät faktat. Jos kyberturvallisuudesta tehdään helposti lähestyttävää, työntekijät muistavat todennäköisemmin tiedon, mikä parantaa organisaation yleistä turvallisuustilannetta.
On myös tärkeää käyttää erilaisia menetelmiä ja muotoja, jotta yleisö pysyy mukana. Live-videoita, animaatioita, tietokilpailuja, toimintatapoja, blogeja ja tiedotusjulisteita voidaan yhdistää kattavan turvallisuusohjelman luomiseksi, joka vaikuttaa myönteisesti työntekijöiden käyttäytymiseen.
4. Harvinainen koulutus
Menneinä vuosina organisaatiot järjestivät vuosittain
kyberturvallisuuskurssin ja toivoivat, että se riittäisi pitämään henkilöstönsä ajan tasalla uusimmista uhkista
. Ajat ovat kuitenkin muuttuneet. Verkkouhat
kehittyvät koko ajan, joten ellei henkilöstöäsi kouluteta säännöllisesti, he
eivät pysty tunnistamaan kehittyneitä uhkia, joita käytetään
kohdistamiseen.
Tietoverkkorikolliset yrittävät yleensä tunkeutua organisaatioon hyödyntämällä ohjelmistojen haavoittuvuuksia, tietojenkalastelulla, haittaohjelmilla tai yleisten huonojen turvallisuuskäytäntöjen avulla. Kun olemme oppineet tuntemaan nämä erityyppiset hyökkäysmenetelmät entistä paremmin, verkkorikollisten on täytynyt yrittää huijata meitä entistä ovelammin. 30 prosenttia tietoturvatapahtumista johtuu nykyään huolimattomista tai tietämättömistä työntekijöistä, joten ellei henkilöstöäsi kouluteta säännöllisesti, he voivat muodostaa merkittävän uhan organisaatiosi turvallisuudelle.
5. Henkilöstön palkitsematta jättäminen
Voi olla liian helppoa juuttua siihen, että yritetään tunnistaa organisaatiolle turvallisuusriskin aiheuttavat henkilöt sen sijaan, että palkittaisiin henkilökunnan jäseniä, jotka aktiivisesti tunnistavat uhkia, harjoittavat hyvää turvallisuuskäyttäytymistä ja motivoivat muita työntekijöitä prosessin aikana. Nämä työntekijät ovat avainasemassa tietoturvatietoisuusohjelman onnistumisessa, ja heitä olisi palkittava sen mukaisesti.
Palkkioina voivat olla pokaalit, palkinnot tai julkinen kehu ja tunnustus siitä, että heidän ponnistelujaan arvostetaan. On tieteellisesti todistettu, että palkkiot vaikuttavat ihmistenkäyttäytymiseen, joten luomalla kannustinohjelman, joka palkitsee positiivisesta turvallisuuskäyttäytymisestä, saat todennäköisemmin aikaan tietoturvallisen työvoiman, joka on sitoutunut organisaatiosi suojelemiseen.
Gartner on laatinut yksityiskohtaisen tutkimusasiakirjan, jossa tuodaan esiin 10 yleistä tietoturvatietoisuuden virhettä ja miten ne voidaan välttää. Voit lukea tutkimusasiakirjan ja selvittää, miten voit muuttaa tietoturvakäyttäytymistä organisaatiossasi, osoitteessa
