Cyberbrottsligheten har blivit mer organiserad och sofistikerad än någonsin tidigare, vilket gör det viktigt för alla organisationer att kommunicera risker som phishing effektivt i hela verksamheten.
Enligt en nyligen genomförd studie har den totala årliga kostnaden för cyberbrottslighet för ett företag ökat från 11,7 miljoner dollar 2017 till rekordhöga 13 miljoner dollar.
Det är också väldokumenterat att arbetstagarnas försumlighet har varit ansvarig för några av de värsta cyberbrotten i historien. Det har faktiskt rapporterats att 90 procent av alla cyberattacker orsakas av mänskliga fel. Sådan statistik belyser förekomsten av säkerhetshot som organisationer står inför och behovet av att säkerställa medvetenhet om cybersäkerhet på alla nivåer.
Genom att vidta rätt åtgärder för att förbättra de anställdas medvetenhet om cybersäkerhet kan organisationer bidra till att utbilda och ge de anställda möjlighet att ändra sitt beteende och skydda företaget från potentiella risker.
Läs mer: Varför är det viktigt med utbildning i säkerhetsmedvetenhet?
Här är tio praktiska tips som hjälper dig att skapa den mest effektiva kampanjen för medvetenhet om cybersäkerhet för din organisation.
Börja med ledarskapsledarskapet
Cybersäkerhet får äntligen den uppmärksamhet den förtjänar i styrelserummet. I takt med att antalet uppmärksammade dataintrång fortsätter att öka har man lagt större vikt vid att hantera cyberrisker för att minska risken för en attack.
Cybersäkerhet är allas ansvar, men för att organisationer ska vara motståndskraftiga krävs ett starkt ledarskap från vd:s sida. Om vd:n tar cybersäkerheten på allvar kommer detta att genomsyra hela organisationen och bidra till att skapa en kultur av ökad medvetenhet om cybersäkerhet.
Känn till dina organisationstoleranser
För att skapa ett effektivt program för säkerhetsmedvetenhet måste din organisation utvärdera hotbilden och identifiera de största riskerna. Detta ger dig en bättre förståelse för de verkliga hoten som kan äventyra din organisations säkerhet.
Din risktolerans måste definieras från början, så att du kan genomföra rätt säkerhetsåtgärder utifrån de faktiska hoten. På så sätt undviker du att resurser riktas mot hot som sannolikt inte kommer att inträffa eller som kommer att ha liten eller ingen inverkan på din verksamhet.
Om du tar dig tid att identifiera riskerna på ett korrekt sätt kan det hjälpa dig att utforma budskapet, leveransen och den effektiva inriktningen på ditt program för medvetenhet om cybersäkerhet.
Skydda dina informationstillgångar
För att utveckla en omfattande cybersäkerhetsstrategi och effektivt identifiera risker måste du göra en grundlig granskning av organisationens informationstillgångar.
En informationstillgång är en bit information som är värdefull för din organisation. Det kan handla om personligt identifierbar information (PII), finansiell information, immateriella rättigheter eller annan information som är viktig för ditt företag.
Du måste fastställa vilka de mest värdefulla informationstillgångarna är, var de finns och vem som har tillgång till dem. Varje tillgång bör klassificeras (t.ex. offentlig, privat eller konfidentiell) och skyddas utifrån sitt värde. Att göra detta är avgörande när man identifierar risker och prioriterar de områden som behöver försvaras.
När du har identifierat dessa områden kan du fokusera på hur varje informationstillgång potentiellt kan äventyras. Oavsett om det är ett systembrott, skadlig kod eller till och med ett insiderhot kan du vidta välgrundade åtgärder för att förbättra dessa processer och minska risken för att en cyberbrottsling ska få tillgång till kritiska system.
Fokus på högriskgrupper
Nyckeln till ett effektivt program för säkerhetsmedvetenhet är att se till att rätt utbildning riktas till rätt personer. Alla användare är mottagliga för cyberhot, men vissa anställda har en högre hotbild än andra. Till exempel kommer dina HR- och ekonomiavdelningar ofta att bli måltavlor på grund av deras privilegierade tillgång till känsliga data.
VD, finansdirektör och högre chefer är också populära måltavlor eftersom de har tillgång till värdefull företagsinformation på hög nivå. Om en ledande befattningshavare skulle falla för bedrägeriet kan resultatet bli förödande och underminera hela organisationens säkerhet.
Gör det engagerande med effektiv storytelling
Berättelser är ett av de mest kraftfulla sätten att blåsa liv i din kampanj för medvetenhet om cybersäkerhet. Cyber-säkerhet kan vara ett torrt ämne, men det är viktigt att du hittar sätt att engagera din personal om du vill påverka beteendet i din organisation positivt. Budskapet är alldeles för viktigt för att gå förlorat i formell företagskommunikation.
Berättelser är grundläggande för hur människor lär sig. De bidrar till att skapa en känslomässig reaktion som gör det lättare att komma ihåg det som lärs ut. Genom att göra berättelsen relevant för slutanvändaren ökar du avsevärt chansen att denne behåller informationen och förbättrar därmed organisationens övergripande säkerhetsläge.
Uppdatera din policyhantering
Policyer är viktiga för att fastställa gränser för beteende för individer, processer, relationer och transaktioner inom din organisation. De ger ett ramverk för styrning, identifierar risker och hjälper till att definiera efterlevnad, vilket är viktigt i dagens alltmer komplexa regelverk.
Ett effektivt system för hantering av policyer är ett system som har en konsekvent metod för att skapa policyer, som ger struktur åt företagets rutiner och som gör det lättare att spåra intyg och personalens svar. Som ett resultat kan detta system hjälpa dig att effektivisera interna processer, visa att du uppfyller lagstiftningens krav och effektivt rikta in dig på de områden som utgör den största risken för datasäkerheten.
Börja förbereda dig för ett dataintrång nu
Om du inte har börjat förbereda dig för ett dataintrång är det dags att börja nu. Miljarder konfidentiella uppgifter har avslöjats och enligt IBM har den globala genomsnittskostnaden för ett dataintrång stigit till svindlande 3,92 miljoner dollar.
Det handlar inte längre om "om" din organisation kommer att attackeras, utan "när". Du måste börja förbereda dig för det oundvikliga och upprätta en plan som garanterar lämpliga åtgärder när säkerheten kränks.
Att upprätta en effektiv responsplan hjälper till att utbilda och informera personalen, förbättra organisationsstrukturerna, öka kundernas och intressenternas förtroende och minska eventuell ekonomisk skada eller skada på ryktet efter en överträdelse.
Du måste regelbundet testa din plan för hantering av dataintrång för att identifiera eventuella svagheter och se till att alla i teamet förstår sitt ansvar, både när det gäller att förbereda sig för och reagera på ett dataintrång.
Anlita mästare i cybersäkerhet
Cybersäkerhet handlar inte bara om teknik. Dina medarbetare spelar en viktig roll när det gäller att försvara din organisation och identifiera hot som kan utgöra ett hot mot din säkerhet.
Att utse cybersäkerhetsmästare är ett utmärkt sätt att ge personalen befogenheter och ge dem de färdigheter som behövs för att förhindra en cyberattack.
Cyber security champions behöver inte vara tekniska experter, utan att utnyttja dem handlar om att lägga till den mänskliga känslan i säkerhetsstrategin och ta hjälp av personal som är engagerad i att öka medvetenheten och implementera goda metoder för cybersäkerhet.
Tänk på din försörjningskedja
För många organisationer är leveranskedjan den svagaste länken i deras cybersäkerhetsförsvar. I stället för att rikta sig direkt mot ett företag försöker cyberkriminella att äventyra en organisations kritiska nätverk och system genom att utnyttja luckor i dess processer och system i leveranskedjan.
Leveranskedjor är en viktig del av affärsverksamheten, men ofta är dessa nätverk stora och varierande och sträcker sig över flera olika länder. Dessa leverantörer har vanligtvis inte samma robusta cybersäkerhetsförsvar, vilket innebär att de har många svaga punkter som cyberbrottslingar kan utnyttja.
Varje leverantör som ansluter sig till ditt företag är en potentiell risk, så det är viktigt att du utför detaljerade riskbedömningar av tredje part för att ta itu med alla problem som kan utgöra ett hot mot din säkerhet. Genom att göra detta kan du avgöra vilka säkerhetsåtgärder som behöver vidtas för att hålla dina data säkra.
Genomföra lämplig tillsyn och regelbundna granskningar
Hotbilden utvecklas ständigt, så ditt program för medvetenhet om cybersäkerhet måste utvecklas med den. Det är viktigt att regelbundet granska personalens beredskap för att identifiera svaga områden och fastställa om nuvarande policyer och utbildning behöver uppdateras.
För att stödja efterlevnaden av tillsynsmyndigheterna är det bästa sättet att dokumentera resultaten av alla granskningar och se till att agera på alla rekommendationer för att åtgärda riskerna. Utan dessa regelbundna granskningar kan det hända att ditt program för medvetenhet om cybersäkerhet inte återspeglar hotbilden och kan göra din organisation sårbar för attacker.
Ytterligare läsning: Varför medvetenhet om cybersäkerhet är viktigare än någonsin
Automatisera ditt program för medvetenhet om cybersäkerhet
MetaCompliance har över 12 års erfarenhet av att hjälpa våra kunder att utveckla och genomföra program för medvetenhet om cybersäkerhet som fungerar. Under den tiden har vi utvecklat en världsledande SaaS-lösning som innehåller alla nödvändiga funktioner för att engagera användarna, tillhandahålla försvar mot cyberhot och leverera myndighetsrapportering.
MyCompliance-sviten automatiserar livscykeln för de årliga kampanjerna för medvetenhet om cybersäkerhet i din organisation, vilket hjälper dig att spara tid och ge ökat skydd.
