Cybersäkerhet är allas vårt ansvar. Som människor är vi naturligt samarbetsinriktade och trivs med samarbete och delade framgångar. Denna känsla av samhörighet stärker inte bara våra samhällen utan är också avgörande för att bygga robusta och effektiva organisationer inför de ökande cyberhoten.
I den här artikeln kommer vi att undersöka hur medarbetarna spelar en avgörande roll i effektiva säkerhetsstrategier och bidrar till hanteringen av mänskliga risker. Vi kommer att diskutera vikten av att främja en företagskultur där cybersäkerhet ses som ett kollektivt ansvar, och hur man genom att dra åt samma håll kan bidra till att skapa en cybersäker organisation. För att uppnå detta krävs dock genomtänkt planering och förberedelser för att säkerställa att alla förstår sin roll i den moderna kontrollen av hot mot cybersäkerheten.
Cybersäkerhet handlar om mer än teknik
Säkerhetsattackerare vill ha en lätt resa; varför göra livet svårt för dig själv? Den "lätta resan" kommer i form av scenarier för cybersäkerhetsattacker som använder sig av en människa, vanligtvis en anställd eller en affärspartner, för att öppna dörren till företagets nätverk.
Vanligtvis använder cyberbrottslingar social ingenjörskonst och nätfiske för att ta sig in i nätverket, och när de väl är inne kan cyberattackörerna ta del av data, installera utpressningstrojaner och orsaka allmän förödelse.
Forskare vid Stanford University fann att 88 % av säkerhetsbrotten hade ett inslag av mänskligt fel och att anställda ofta är ovilliga att erkänna misstag. I rapporten konstaterades också att 25 % av överträdelserna berodde på nätfiske, där nätfiskebedrägerier tar reda på anställda med hjälp av social ingenjörskonst och psykologiska knep för att manipulera beteendet.
Det mänskliga elementets framgångar i cyberattackerna förvärras av att traditionella säkerhetsverktyg som antivirusprogram har visat sig vara endast 50% effektiva när det gäller att upptäcka hot. Den sociala ingenjörskonsten i kombination med säkerhetsteknik som inte är 100 % effektiv har lett till att IT-team inser att de behöver en mer holistisk strategi för att skydda sina resurser.
Istället vet säkerhetsexperter att de för att ta itu med cyberattacker måste införliva en blandning av utbildning i säkerhetsmedvetenhet och tekniska åtgärder som leds av robust policygenomförande.
I slutändan har alla i en organisation en roll att spela för att skapa ett skyddande lager mot cyberattacker. Användningen av fem kärnvärden bidrar till att befästa det ansvar som alla inom ett företag har.
Skapa en ansvarsfull inställning till cybersäkerhet med hjälp av fem kärnvärden
Genom att erkänna att cybersäkerhet är allas ansvar och att de anställda är en viktig del av en effektiv cybersäkerhetsstrategi har man kommit fram till begreppet den mänskliga brandväggen. Detta är en idé som bygger på att göra det möjligt för de anställda att agera som en sköld mot människofokuserade cyberhot.
Anställda är ett mål för cyberbrottslingar som letar efter enkla vägar in i en organisation. Ett effektivt och handlingsinriktat ansvarstagande kräver verktyg för att skydda mot attacker som fokuserar på de anställda; en anställd som har inflytande minskar sannolikheten för en lyckad attack.
För att bygga upp en robust mänsklig brandvägg krävs en förändring i tankesättet. Denna förändring skapar en kultur av cybersäkerhet som bygger på god säkerhetsutbildning och verktyg och åtgärder som ger anställda och andra icke-anställda möjlighet att hjälpa till att upptäcka och ta itu med nätfiske och andra bedrägerier, som till exempel Business Email Compromise (BEC).
Detta säkerhetstänkande upprätthålls av National Institute of Standards and Technology (NIST). I en NIST-publikation från 2018, "Security is everybody's job", anges fem kärnvärden som används för att skapa en cybersäkerhetskultur som NIST anser vara "kritisk" för en framgångsrik cybersäkerhetsställning:
1/ Mindset
NIST menar att en kultur för cybersäkerhet är grundläggande för att ge hela organisationen ett säkerhetstänkande. Denna grundsten för företagssäkerhet skapar förutsättningar för bättre säkerhet genom medvetenhet om de knep och bedrägerier som leder till dataexponering, utpressningstrojaner och andra säkerhetsöverträdelser.
2/ Leadership
Tonen för säkerhetsansvaret måste komma uppifrån för att uppmuntra och genomdriva det säkerhetstänkande som krävs för att avvärja cyberattacker.
Detta toppstyrda ledarskap inom säkerhet formaliseras, eftersom Gartner, Inc. förutspår att "år 2025 kommer 40 % av styrelserna att ha en särskild kommitté för cybersäkerhet som övervakas av en kvalificerad styrelseledamot". Ledare bör föregå med gott exempel och agera för att påverka och modellera goda säkerhetsvanor.
3/ Utbildning och medvetenhet
NIST anser att en grundläggande byggsten i en säker organisation är att genomföra utbildning i säkerhetsmedvetenhet. Genom att utbilda medarbetarna i social ingenjörskonst och lära dem att upptäcka phishing-meddelanden kan medarbetarna "slå igen dörren till cyberhotet" i ansiktet på cyberbrottslingen.
4/ Performance Management
Organisationens mål måste överensstämma med individuella prestationsmål. NIST föreslår att man använder sig av incitament och avskräckande åtgärder för att hjälpa till att ändra dåligt cybersäkerhetsbeteende.
5/ Förstärkning av teknik och policy
Tekniska åtgärder, t.ex. flerfaktorsautentisering (MFA) och lösenordspolicy, bör användas för att förstärka och upprätthålla god säkerhetshygien.
Cybersäkerhet är allas vårt ansvar
Cybersäkerhet är allas ansvar. Men när man gör någon ansvarig för något måste man ge honom eller henne verktyg för att kunna ta sitt ansvar.
För att påbörja processen att bli en cyberansvarig organisation måste företaget skapa en kultur där säkerhet är en självklarhet. Människor är naturligt samarbetsvilliga, och en ansvarskänsla kan odlas genom att implementera de fem kärnvärdena från NIST, som visas ovan.
Med hjälp av dessa värderingar kan du understryka och upprätthålla en känsla av ansvar för cybersäkerhet och ge medarbetarna möjlighet att ta detta ansvar och agera som en gemensam kraft mot sociala ingenjörsattacker.
