Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber Security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Beteendebaserad mognadsmodell för cybersäkerhet

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Ökad medvetenhet om cybersäkerhet genom att främja tvåfaktorsautentisering (2FA)

Autentisering med två faktorer

om författaren

Dela detta inlägg

År 2016 bröts miljontals e-postmeddelanden på Deloitte efter att hackare fått tillgång till ett administratörskonto som gav dem obegränsad tillgång till Deloittes molnbaserade e-postsystem. Utredningar i samband med incidenten visade att administratörens konto endast hade ett skyddslager - ett lösenord - utan några ytterligare identifieringsmetoder.

Detta kunde lätt ha förhindrats om tvåfaktorsautentisering (2FA) hade aktiverats för administratörskontot. Förutom att använda ett lösenord kräver 2FA att användarna tillhandahåller ytterligare ett bevis som bekräftar deras identitet. Detta kan antingen vara något som endast användaren har - t.ex. en smartphone - eller ett biometriskt bevis - t.ex. ett fingeravtryck.

Microsoft uppskattar faktiskt att effektiviteten av flerfaktorsautentisering är över 99,9 procentoch blockerar praktiskt taget alla attacker mot kontokompromisser. Detta är oerhört viktigt med tanke på att "trasig autentisering" konsekvent har varit en av de främsta sårbarheterna på OWASP:s topp tio-lista.

Hackare använder vanligtvis någon av följande tekniker för att komma åt användarens inloggningsuppgifter:

  1. Vid bredbaserad nätfiske skickar en illvillig aktör ett generiskt e-postmeddelande från en falsk e-postadress som uppmanar mottagarna att logga in på en falsk webbsida med sina faktiska inloggningsuppgifter. De skäl som anges i phishingmeddelandet kan vara allt från "tillgång till ett nytt verktyg", "återställning av ett lösenord" eller, ironiskt nog, "bekräftelse av misstänkt kontoaktivitet".
  2. Spear phishing följer samma modell som bredbaserat phishing, men e-postmeddelandena är specifika för varje målgrupp. Detta innebär att e-postmeddelandet riktar sig till användaren med hans eller hennes riktiga namn eller till program som han eller hon regelbundet använder. Spear phishing e-postmeddelanden verkar mer trovärdiga än sina motsvarigheter, vilket ökar deras framgångsfrekvens.
  3. Credential stuffing-attacker, där en illvillig aktör som upptäcker eller köper ett målpersons lösenord kan få tillgång till alla konton som delar det lösenordet. Detta är särskilt problematiskt med tanke på användarnas personliga medvetenhet om cybersäkerhet. Från och med 2020 erkänner mer än 50 procent av människor att de använder samma lösenord för flera konton. Detta gör både deras personliga uppgifter och deras arbetsuppgifter sårbara för den här typen av attacker.
  4. Lösenordsspridning gör det möjligt för angripare att få tillgång genom att prova vanliga lösenord eller standardlösenord. De vanligaste exemplen är lösenord som "123456" och "password".

Varför är det viktigt med tvåfaktorsautentisering?

Som vi kan se är det inte omöjligt att bryta sig in i ett lösenord och det kräver inte att angriparna går igenom måltavlans sopor i hopp om att hitta ett pappersark med deras inloggningsuppgifter.

Med dessa tre typer av attacker - phishing, credential stuffing och password spraying - är det lätt att föreställa sig att minst en av tusen anställda kan bli utsatt för intrång. Och det innebär att hela organisationen riskerar att drabbas.

Men när du lägger till ytterligare ett autentiseringsläge i mixen närmar sig kompromissrisken noll. Ett lösenord kan hackas, men risken för att angriparen också får fjärråtkomst till målets autentiseringsenhet eller biometriska kännetecken är nästan obefintlig. På så sätt kan 99,9 procent av kontokompromisserna förhindras.

Utbildning i säkerhetsmedvetenhet är avgörande för att lyckas med tvåfaktorsautentisering

Att införa tvåfaktorsautentisering i din organisation har två aspekter att ta hänsyn till.

För det första tekniken. För att införa tvåfaktorsautentisering måste du välja en metod som autentiserar användare. Den vanligaste metoden numera är att använda en smartphone. Produkter som Office 365 har inbyggda MFA-funktioner och policyhantering som enkelt kan ställa in användarnas mobilapplikationer som identitetsbevis.

För det andra, och kanske det mest utmanande, människorna. Användarna måste gå igenom ytterligare ett inloggningssteg varje gång de använder ett verktyg som har MFA aktiverat. Det är här som utbildning i säkerhetsmedvetenhet är oumbärlig. Utan en utbildningskampanj för anställda som beskriver vikten av tvåfaktorsautentisering kan vissa användare känna sig besvärade av det extra autentiseringssteget och kanske vända sig till att använda obehöriga program - som WhatsApp - för att dela filer och meddelanden. Denna obehöriga programanvändning kallas för skugg-IT och är en högriskmetod eftersom den kringgår all företagssäkerhet.

Användarens medvetenhet om cybersäkerhet är ännu viktigare när vi tänker på credential stuffing-attacken. Om mer än 50 procent av användarna använder samma lösenord för flera konton är det också mycket troligt att de delar lösenord mellan personliga och arbetskonto.

Skapa en mänsklig brandvägg med tvåfaktorsautentisering

Därför rekommenderar vi att kampanjerna för utbildning i säkerhetsmedvetenhet utvidgas till att omfatta de anställdas personliga säkerhetsvanor. Att aktivera 2FA på personliga e-posttjänster som Gmail är enkelt att installera och bekvämt att använda. Denna enda åtgärd har en dubbel nytta, direkt för användaren och indirekt för organisationen eftersom den minimerar risken för dataintrång.

Förutom att främja vikten av tvåfaktorsautentisering för personlig användning kan utbildning i incidenthantering också hjälpa användare som har blivit utsatta för intrång att följa ett förfarande som kan förhindra ytterligare skador, inklusive rapportering av intrång till relevanta IT-team och byte av lösenord vid behov.

Utbildningskampanjer för att öka den personliga medvetenheten om cybersäkerhet är det enda sättet att få frivilligt användarbeteende. När de anställda förstår vikten av att hålla IT- och kommunikationstjänsterna säkra både på jobbet och hemma, kommer de att utgöra en stabil grund för hela företaget.

Medvetenhet om cybersäkerhet för Dummies

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta

duckduckgo vs google EN

DuckDuckGo vs Google - 5 skäl till varför du bör sluta använda Google!

Visste du inte att DuckDuckGo är en sökmotor? Ja, nu vet du. DuckDuckGo har sedan starten 2008 haft som mål att utveckla en sökmotor som inte lagrar eller delar personuppgifter, helt till skillnad från Google. Googles affärsmodell bygger mindre på dataskydd och mer på personanpassad reklam. Utan lagring av personuppgifter skulle Google praktiskt taget förlora den luft det andas. Google är dock fortfarande den mest använda sökmotorn, och det finns skäl till det. Google har dock en svaghet, och det är dataskyddet.
Läs mer "
dataskydd vs informationssäkerhet SV

Informationssäkerhet vs dataskydd

Är detta en fråga för vår ISO eller vår DPO, eller är det ungefär samma sak i båda fallen? Vem exakt är ansvarig för denna incident, och finns det något behov av att rapportera den överhuvudtaget? För att kunna diskutera likheterna och skillnaderna mellan informationssäkerhet och dataskydd är det första steget att definiera de två områdena.
Läs mer "