En nyligen genomförd undersökning från den brittiska regeringen, "Cyber resilience captains of industry survey 2021", ger intressanta insikter om medvetenheten om cybersäkerhetsrisker på chefs- och styrelsenivå i en organisation.
Undersökningen visade att nästan alla respondenter ser att styrelsen tar hänsyn till cyberrisker i företagets allmänna verksamhet. I rapporten ges dock följande varning för detta:
"Kaptenerna anser fortfarande att det finns mer att göra för att utrusta styrelsemedlemmarna för att hantera cyberhot. Kaptenerna nämnde oftast att styrelseledamöterna ska bli mer medvetna och att de ska få riktad utbildning."
C-suite och styrelsen är särskilda grupper som kräver skräddarsydd utbildning för att möta deras unika behov. Här är några idéer för att skapa ett program för säkerhetsmedvetenhet för din C-Suite.
Varför utbilda C-suite?
De personer som arbetar i ledningen har stort inflytande på sitt företag och detta inflytande är avgörande för att bidra till att skapa en konsekvent och effektiv säkerhetsmedvetenhet i hela organisationen. Därför är det vettigt att rikta sig till denna grupp i en kampanj för säkerhetsmedvetenhet.
"Tonen på toppen" är ett välkänt fenomen inom säkerhetsriskhantering. Denna "ton i toppen" lyfts fram i handboken från European Directors' Association (ecoDa), som ger flera viktiga rekommendationer för riskreducering i en tid med omfattande cyberhot. En av rekommendationerna är att sätta tonen för medvetenhet i hela organisationen - så här står det i rapporten:
"Styrelsen och ledningen bör sätta tonen i toppen och utveckla rätt kultur och öka medvetenheten för att utveckla cyberresiliens. "
Komponenterna i ett målinriktat program för säkerhetsmedvetenhet för C-Suite
Det är värt att notera att den brittiska regeringens rapport om industrins kapten konstaterade att säkerhetsmedvetenheten har nått styrelserummen. Men C-Suite och styrelseledamöter måste vara en del av ett allmänt och målinriktat program för säkerhetsmedvetenhet. Genom att skapa medvetenhet på denna nivå kan man befästa kulturen med ett säkerhetstänkande.
Här är de kritiska faktorerna för en kampanj som fokuserar på en C-suite:
Bygg upp spänningen med risk
C-suite har många bollar att jonglera med. Företagets kärnverksamhet måste alltid komma först. Men om kärnverksamheten riskeras på grund av cyberhot måste företaget prioritera dessa hot.
Sätt scenen för utbildningen för cheferna genom att visa på avkastningen på investeringarna i ett program för utbildning i säkerhetsmedvetenhet. Några siffror som kan hjälpa till att definiera detta finns i IBM:s och Ponemons rapport Cost of a Data Breach: Storbritannien är ett av de länder som har de högsta kostnaderna för dataintrång, med ett genomsnitt på 4,67 miljoner dollar (3,8 miljoner pund) per dataintrång.
När du väl har fått stöd från din högsta ledning kan du skapa ramarna för ett effektivt utbildningsprogram för säkerhetsmedvetenhet som riktar sig till de högsta cheferna.
Genomföra ett rollbaserat program för säkerhetsmedvetenhet i ledningsgruppen
Cyberbrottslingar fokuserar alltmer på individer och roller i en organisation. Detta är logiskt, eftersom det blir svårare att lura de anställda ju mer de är medvetna om säkerhetsfrågorna. Om en hackare förstår sitt mål kan han eller hon dock skapa smarta och svårigenkännliga nätfiskemejl. C-suite är i cyberkriminellas sikte eftersom de är företagets ekonomiska hjärta och auktoritet.
En C-suite-fokuserad attack drabbade det amerikanska företaget Scoular Co, som blev offer för Business Email Compromise (BEC). Företaget förlorade 17,2 miljoner dollar till cyberkriminella via tre banköverföringar efter att bedragarna riktade sig till företagets VD med hjälp av falska e-postmeddelanden.
I Verizon 2021 Data Breach Investigations Report (DBIR) konstateras vikten av att skräddarsy utbildning i säkerhetsmedvetenhet och slutsatsen är:
"Det finns ingen enkel metod för att minimera de mänskliga risker som leder till intrång. Varje företag upplever olika varianter av samma typer av attacker och måste anpassa sina utbildningsprogram för beteendeteknik och cybersäkerhet därefter."
Utforma din utbildning i säkerhetsmedvetenhet utifrån företagets roller och inkludera de viktigaste chefernas roller. Fokusera på de typer av attacker som riktar sig mot personal på C-nivå, t.ex. BEC och utspel av VD.
Sätt den sociala aspekten i C-suite
Cyberbrottslingar som riktar in sig på "stora phish", t.ex. vd:n och ekonomichefen, kommer att få reda på vad deras byte är. De gör detta som en del av den sociala ingenjörskedja som använder olika tekniker för att manipulera beteendet.
En sådan taktik är att utge sig för att vara chef , även känt som "whaling" eller "executive impersonation". Ett ökänt exempel på detta var en "deep fake"-attack från 2019, där företagets vd förfalskade sin röst för att lura den brittiska verkställande direktören att skicka 243 000 dollar till bedragarens bankkonto.
Denna form av social ingenjörskonst ökar kraftigt, med en 131-procentig ökning under 2020-2021. Dessa typer av bedrägerier bygger på att man bygger upp en profil av måltavlan för att få information som gör det möjligt att utföra social ingenjörskonst.
Lägg in medvetenhet om social ingenjörskonst i din kalender för säkerhetsutbildning och utbilda din ledning om deras sårbarhet på detta område...
Spjutspetsar för C-suite
C-suite är i riskzonen för spear-phishing-attacker, som är en riktad form av phishing. I en nyligen genomförd nätfiskekampanj användes falska Microsoft Office 365-e-postmeddelanden för att stjäla inloggningsuppgifter. Kampanjen riktade sig till chefer i högsta ledningen och deras assistenter inom många branscher.
Genom att Spear-phishing C-Suite går en cyberkriminell direkt till beslutsfattaren i en organisation. Spear phishing fungerar eftersom de falska e-postmeddelandena baseras på kända uppgifter om målet. Spearfishers använder ofta exakt de appar, som Office 365, som ett företag regelbundet använder.
Skapa en sofistikerad simulerad phishing-kampanj som är särskilt riktad mot din C-Suite. Använd din kunskap om rollbaserad nätfiske för att skapa realistiska spear-phishing-mejl som riktar sig till din C-Suite. Använd en avancerad simulerad phishing-plattform som använder "point of need"-inlärning. Detta fångar upp beteendeproblem när de uppstår och ger användaren information om vad som gick fel och varför.
Lär känna din C-suite genom mätningar av utbildning för säkerhetsmedvetenhet
Phishing-simuleringsplattformar som MetaPhish tillhandahåller mätvärden i form av en instrumentpanel som visar dataresultat från phishing-simuleringar. Detta ger dig feedback om hur många av din C-Suite som har klickat på en länk i ett simulerat phishing-e-postmeddelande. Rapporterna kan till och med visa vilken enhet som användes för att komma åt phishing-e-postmeddelandet; detta gör att du ytterligare kan skräddarsy och fokusera dina ansträngningar på att förbättra chefernas säkerhetsbeteende.
Sätt tonen för cybersäkerhet på högsta nivå
Dina chefer i C-Suite är dina interna påverkare. Men de måste vara exempel på ett utmärkt säkerhetsbeteende för att vara ett föredöme för hela personalen. Att sätta tonen för säkerhet i toppen kommer att uppmuntra till ett säkerhetstänkande. Detta säkerhetstänkande är viktigt för att skapa en säkerhetskultur och minska företagets cyberrisker.
