Ett av de viktigaste sätten att kontrollera den mänskliga sidan av brott mot cybersäkerheten är att använda skräddarsydd utbildning i säkerhetsmedvetenhet för anställda.
Datainbrott är numera en daglig angelägenhet för företag i alla branscher, från förlusten av kundernas förtroende till skräcken av böter för bristande efterlevnad. Att hålla koll på säkerhetsriskerna är en utmaning.
Det skulle vara underbart om IT-säkerhet bara handlade om att använda en teknik för att stänga dörren för cyberbrottslingar, men som en studie från IBM om kostnaderna för dataintrång visar, tenderar de flesta cyberhot att ha en anställd som grundorsak, oavsett om det handlar om ett enkelt mänskligt misstag, illvilliga insiders, nätfiske eller komprometterade autentiseringsuppgifter.
Vikten av utbildning i säkerhetsmedvetenhet för anställda
Som vi alla vet är utbildning viktigt i livet. Om en person förstår varför han eller hon agerar på ett visst sätt kan han eller hon lättare ändra ett eventuellt negativt beteende.
Genom att göra anställda och icke-anställda medvetna om hur cybersäkerhet fungerar kan de bli en del av ett välutbildat team som spelar en positiv roll för att hjälpa till att mildra cyberattacker mot en organisation.
Människor agerar på särskilda sätt på grund av beteendenormer och förkunskaper som gör det lättare att använda datorer. Detta beteende används för att manipulera anställda till att utföra handlingar som gynnar bedragare.
Detta bekräftas av studier som visar att manipulation av mänskligt beteende är det främsta verktyget för cyberbrottslighet. Det må vara skadlig kod som gör jobbet med att exfiltrera data, men människor öppnar dörren för cyberhot genom mänskliga fel, social ingenjörskonst och nätfiske. Här är tre viktiga skäl till varför utbildning i säkerhetsmedvetenhet för anställda är viktig:
Utbildning i säkerhetsmedvetenhet fokuserar på människan i hotkedjan
Enligt ENISA kräver mer än 95 % av nätfiskemejlen mänskligt ingripande för att kunna initiera en infektion med skadlig kod.
Utbildning i säkerhetsmedvetenhet minskar kostnaderna
I den tidigare nämnda IBM-studien konstaterades att utbildningar för anställda var ett av de bästa sätten att minska den genomsnittliga kostnaden för ett dataintrång.
Utbildning i säkerhetsmedvetenhet tar policyer och omvandlar dem till åtgärder
I en annan Enisa-studie om cybersäkerhetskultur betonas vikten av att upprätthålla säkerhetspolicyer. I rapporten konstaterades att slutanvändarna betraktar säkerhetspolitiken som "riktlinjer, men inte regler". I rapporten betonas vikten av att ändra de anställdas inställning till säkerhet för att justera riskuppfattningen med hjälp av en samordnad organisatorisk säkerhetskultur, i motsats till att tvinga fram ett säkert beteende.
Viktiga ämnen för utbildning i säkerhetsmedvetenhet för anställda
Utbildningsprogram för säkerhetsmedvetenhet innehåller flera ämnesområden som är ett måste för effektiv utbildning. Sex av de viktigaste är:
Phishing
Phishing-attacker är fortfarande en av de vanligaste metoderna som leder till dataintrång. Tillsammans med bristande utbildning och dålig lösenordshygien är nätfiskeattacker en av de tre vanligaste orsakerna till infektion med utpressningstrojaner. Utbildningen för säkerhetsmedvetenhet hos anställda måste innehålla en förståelse för hur nätfiske fungerar och vilka typer av nätfiske det finns, t.ex. nätfiske via e-post, röstfiske (Vishing), textfiske (SMShing) och spear phishing. Simulerad nätfiske är ofta en del av ett medvetandepaket. Simulerade nätfiskeövningar är skräddarsydda för att skicka ut testmejl om nätfiske för att utbilda användarna i de typiska knep som bedragare använder. Många utbildningsprogram för säkerhetsmedvetenhet erbjuder också interaktiva videor för att hjälpa till att upptäcka de olika typerna av bedrägerier som använder sig av phishing.
Webbsäkerhet
År 2020 registrerade Google mer än 2 miljoner nätfiskewebbplatser. Skadliga webbadresser kan orsaka stöld av autentiseringsuppgifter och infektion av skadlig kod, även utan att användaren interagerar. Det är viktigt att utbilda slutanvändare i hur man upptäcker webbplatser/bedrägerier som syftar till att infektera nätverk. Detta blir allt svårare eftersom nätfiskewebbplatser ofta är "säkra webbplatser"; Anti-Phishing Working Group (APWG) visar att 83 % av nätfiskewebbplatserna använder HTTPS.
Hygien för lösenord
Statistik från LastPass sammanfattar de lösenordsproblem som organisationer står inför:
- 66 % av alla människor återanvänder lösenord
- 53 % har inte bytt lösenord på över 12 månader.
- 41 % anser att deras konton inte är tillräckligt värdefulla för att locka en hackare.
Utbildningen i säkerhetsmedvetenhet bör omfatta skälen till varför lösenordshygien är viktigt och hur man skapar robusta lösenord.
Mobila enheter
Nu när många anställda arbetar hemifrån eller på distans, åtminstone en del av tiden, är mobilsäkerhet viktigare än någonsin. Omkring 70 % av bedrägerierna på nätet sker via den mobila kanalen. Utbildning i säkerhetsmedvetenhet bör fokusera på säker användning av mobila enheter, inklusive säkert Wi-Fi, apphygien och nätfiske.
Vad är social engineering eller social ingenjörskonst?
Social ingenjörskonst används för att lura användare att ge bedragare värdefulla uppgifter, t.ex. inloggningsuppgifter och personlig information. Social ingenjörskonst spelar också en stor roll i komplexa bedrägerier, t.ex. Business Email Compromise (BEC), där anställda luras att skicka pengar till en bedragares bankkonto.
Hantering av känsliga uppgifter
Regler och standarder kräver att processer följs vid hantering av känsliga uppgifter. Utbildningen av de anställdas säkerhetsmedvetenhet bör också innehålla en del som täcker deras roll när det gäller att upprätthålla en korrekt hantering av känslig och personlig information.
Gör utbildning i säkerhetsmedvetenhet intressant för de anställda
Cybersäkerhet ses vanligtvis som ett tråkigt ämne. Utbildning i säkerhetsmedvetenhet har dock kommit långt sedan starten. Moderna program för säkerhetsmedvetenhet är utformade för att hålla, och det innebär att de kan vara intressanta, till och med roliga! Några sätt att göra ditt program för säkerhetsmedvetenhet för anställda roligt och intressant är följande:
Spela: Människor är bra på att lära sig genom lek. När man har roligt när man gör något har man en tendens att komma ihåg det. Skräddarsy dina lektioner om cybersäkerhet så att de använder spel för att få utbildningen att fastna i dina anställdas medvetande.
Interaktion: Interaktiva utbildningstillfällen engagerar de anställda och hjälper dem att lära sig. Vissa säkerhetsutbildningsprogram erbjuder interaktiva videor som tar anställda genom typiska bedrägeriprocesser för att hjälpa dem att förstå hur de kan bli lurade av bedragare. Dessa interaktiva sessioner ger vanligtvis feedback i farten till de anställda under en utbildningssession.
Relatera: Människor lär sig också bra av spel eller interaktiva träningspass som är relaterbara. Du bör försöka skräddarsy ditt utbildningsprogram för säkerhetsmedvetenhet så att det återspeglar de verkliga hot som din bransch står inför. I studiet av vuxnas lärande, som kallasandragogi, sägs följande om att undervisa vuxna:
"Eftersom vuxna vill lära sig praktiskt bör innehållet fokusera på frågor som rör deras arbete eller privatliv."
Resurser för utbildning i säkerhetsmedvetenhet för anställda
Här är några resurser som kan hjälpa dig med idéer om hur du kan skräddarsy medvetenheten om cybersäkerhet för dina anställda:
Månad för säkerhetsmedvetenhet: Hela oktober månad är tillägnad en mängd olika ämnen som rör säkerhetsmedvetenhet, och erbjuder råd och aktiviteter för att utbilda anställda i säkerhetshot.
Nationellt centrum för cybersäkerhet: Detta nationella organ har massor av resurser för att hjälpa till att skräddarsy utbildningar i medvetenhet.
Google phishing-quiz: Ett automatiserat snabbt och roligt test som går igenom några vanliga phishing-trick.
MetaCompliance verktyg för simulering av nätfiske: MetaPhish är skräddarsytt för dina anställda och ger en inblick i hur effektiv din säkerhetsutbildning har varit.
Affischer för medvetenhet omcybersäkerhet: Gratis affischer som du kan skriva ut eller skicka för att påminna de anställda om olika viktiga aspekter av cybersäkerhet.
