I dagens snabbt föränderliga digitala landskap står organisationer inför en mängd olika hot mot cybersäkerheten. Även om stor vikt läggs vid att utbilda anställda i att känna igen och minska dessa risker, finns det en ofta förbisedd grupp med betydande potentiella sårbarheter - icke-anställda. Dessa personer, t.ex. entreprenörer, leverantörer och partner, har tillgång till känslig information eller känsliga system, vilket gör dem till attraktiva mål för cyberbrottslingar.
I den här artikeln belyser vi de säkerhetsrisker som icke-anställda utgör och betonar den viktiga roll som utbildning i säkerhetsmedvetande spelar för att stärka företag även utanför deras personalstyrka.
Insiderhotet: Att gå bortom de anställda
Rapporten 2023 Data Breach Investigations Report avslöjade att 19% av dataintrången orsakades av insiderhot. När vi hör termen "insiders" är det lätt att anta att den endast syftar på anställda i en organisations nätverk. Men insiderhot sträcker sig långt bortom enbart anställda. Entreprenörer, leverantörer och partners kan också utgöra ett hot mot ett företags säkerhet. Hela 41 % av insiderhoten utfördes av partners eller entreprenörer, vilket understryker den betydande risk som dessa externa enheter utgör.
Förstå de risker som icke-anställda utsätts för
Icke-anställda kan ha varierande kännedom om en organisations säkerhetsprotokoll och saknar samma nivå av expertis inom cybersäkerhet som ordinarie anställda. Denna kunskapslucka gör dem mottagliga för socialtekniska attacker, nätfiskeförsök och andra cyberhot.
Med tillgång till kritiska företagsresurser, inklusive databaser, kundinformation och immateriella rättigheter, kan de använda sina egna enheter eller få tillgång till data via offentliga nätverk, vilket skapar potentiella säkerhetsproblem. Ett verkligt exempel på de förödande konsekvenserna av ett sådant intrång är T-Mobile, som drabbades av ett massivt dataintrång i januari 2023 när hackare fick tillgång via en tredjepartsleverantör, vilket påverkade över 40 miljoner kunder.
Den avgörande betydelsen av utbildning i säkerhetsmedvetande för icke anställda
Enligt ISO 27001/2 punkt 7.2.2 "ska alla anställda i organisationen och, i förekommande fall, entreprenörer och tredjepartsanvändare få lämplig utbildning i medvetenhet och regelbundna uppdateringar av organisationens policyer och förfaranden, som är relevanta för deras arbetsfunktion".
Att utbilda icke-anställda i säkerhetsmedvetenhet kan minska antalet incidenter inom cybersäkerhet avsevärt. När dessa personer utrustas med nödvändiga kunskaper och färdigheter blir de en extra försvarslinje mot cyberattacker, vilket minskar sannolikheten för intrång och kompromettering av data.
Genom att utöka utbildningen i säkerhetsmedvetande till att omfatta även icke-anställda förbättras organisationens övergripande säkerhetsläge eftersom den omfattar alla personer som har tillgång till resurser. Att skapa en robust säkerhetskultur och främja ansvar och medvetenhet bland både anställda och icke-anställda främjar en kollektiv insats för att skydda kritiska tillgångar, vilket stärker det övergripande säkerhetslandskapet.
Utvärdering av befintliga utbildningsprogram
Organisationer bör först fastställa om icke-anställda redan har ett program för utbildning i säkerhetsmedvetande. Det är lika viktigt att utvärdera hur effektivt det befintliga programmet är. Denna utvärdering kan hjälpa till att identifiera eventuella luckor eller förbättringsområden och samtidigt säkerställa att alla personer med tillgång till företagets resurser har fått adekvat utbildning.
Läs mer här: Utbildning i säkerhetsmedvetenhet för tredjepartsleverantörer
Utöka utbildningen i säkerhetsmedvetenhet till att omfatta fler än de anställda
För att säkerställa att utbildningen i säkerhetsmedvetenhet för icke-anställda blir framgångsrik bör organisationer beakta följande:
- Skräddarsydd utbildning: Utforma utbildningsprogram som tillgodoser de specifika behov och roller som icke-anställda inom organisationen har. Ta upp de unika risker som de kan utsättas för och ge praktisk vägledning om hur man undviker och hanterar potentiella hot.
- Engagerande innehåll: Gör utbildningen interaktiv och engagerande för att fånga upp icke-anställdas intresse och motivation att lära sig. Genom att använda spelifieringstekniker kan man överbrygga kunskapsklyftan och öka medvetenheten om cybersäkerhet bland denna utsatta grupp.
- Tydlig kommunikation: Betona vikten av säkerhetsmedvetenhet och hur det direkt påverkar organisationens framgång. Lyft fram det delade ansvaret för att skydda information.
- Regelbunden utbildning: Se till att icke-anställda får regelbunden utbildning, eftersom människor tenderar att glömma viktig information med tiden. En studie utförd av USENIX om effektiviteten hos utbildning i säkerhetsmedvetenhet visade att anställda behöll kunskapen från sin första utbildning i ungefär fyra månader. Men efter sex månader hade deras förmåga att upptäcka phishing-mejl minskat avsevärt.
Slutsats
Att prioritera utbildning i säkerhetsmedvetenhet för icke-anställda är avgörande för att organisationer ska kunna stärka sin övergripande cybersäkerhet, motverka insiderhot och skydda känsliga uppgifter från potentiella intrång. Genom att utvidga säkerhetsutbildningen till att omfatta fler än de anställda säkerställer man att alla personer med tillgång till företagets resurser är väl rustade att försvara sig mot cyberhot. Genom att främja en kollektiv insats för att skydda kritiska tillgångar kan organisationer stärka sitt försvar mot cyberbrottslingar och skydda sitt rykte, sina konkurrensfördelar och sin finansiella stabilitet.
