Människan är en naturligt samarbetsvillig art. Vi känner oss hemma när vi samarbetar med andra och arbetar på framgångsrika projekt tillsammans. Detta samarbete, denna känsla av samhörighet, bidrar till att bygga mer robusta och smidigare samhällen.
Att dra åt samma håll är också något som kan bidra till att bygga upp en cybersäker organisation. Att få alla att förstå att detta delade ansvar är verkligheten i dagens hotkontroll av cybersäkerhet är dock en annan sak.
För att kunna hantera den ökande anstormningen av cyberattacker måste företagen skapa en känsla av att cybersäkerhet är allas ansvar. Hur man gör detta till verklighet kräver dock en del eftertanke och förberedelser.
Cybersäkerhet handlar om mer än teknik
Säkerhetsattackerare vill ha en lätt resa; varför göra livet svårt för dig själv? Den "lätta resan" kommer i form av scenarier för cybersäkerhetsattacker som använder sig av en människa, vanligtvis en anställd eller en affärspartner, för att öppna dörren till företagets nätverk.
Vanligtvis använder cyberbrottslingar social ingenjörskonst och nätfiske för att ta sig in i nätverket, och när de väl är inne kan cyberattackörerna ta del av data, installera utpressningstrojaner och orsaka allmän förödelse.
Forskare vid Stanford University fann att 88 % av säkerhetsbrotten hade ett inslag av mänskligt fel och att anställda ofta är ovilliga att erkänna misstag. I rapporten konstaterades också att 25 % av överträdelserna berodde på nätfiske, där nätfiskebedrägerier tar reda på anställda med hjälp av social ingenjörskonst och psykologiska knep för att manipulera beteendet.
För att förstärka den mänskliga faktorns framgång i cyberattacker har traditionella säkerhetsverktyg som antivirusprogram visat sig vara endast 50 procent effektiva när det gäller att upptäcka hot. Denna dubbla hammare av social ingenjörskonst i kombination med mindre än 100 % effektiv säkerhetsteknik har lett till att IT-teamen har förstått att de behöver ett mer holistiskt tillvägagångssätt för att skydda resurserna.
I stället vet säkerhetsexperter att de måste använda en blandning av utbildning i säkerhetsmedvetenhet och tekniska åtgärder som leds av en kraftfull tillämpning av policyer för att kunna hantera cyberattacker.
I slutändan har alla i en organisation en roll att spela för att skapa ett skyddande lager mot cyberattacker. Användningen av fem kärnvärden bidrar till att befästa det ansvar som alla inom ett företag har.
Skapa en ansvarsfull inställning till cybersäkerhet med hjälp av fem kärnvärden
Genom att erkänna att cybersäkerhet är allas ansvar och att de anställda är en viktig del av en effektiv cybersäkerhetsstrategi har man kommit fram till begreppet den mänskliga brandväggen. Detta är en idé som bygger på att göra det möjligt för de anställda att agera som en sköld mot människofokuserade cyberhot.
Anställda är ett mål för cyberbrottslingar som letar efter enkla vägar in i en organisation. Ett effektivt och handlingsinriktat ansvarstagande kräver verktyg för att skydda mot attacker som fokuserar på de anställda; en anställd som har inflytande minskar sannolikheten för en lyckad attack.
För att bygga upp en robust mänsklig brandvägg krävs en förändring i tankesättet. Denna förändring skapar en kultur av cybersäkerhet som bygger på god säkerhetsutbildning och verktyg och åtgärder som ger anställda och andra icke-anställda möjlighet att hjälpa till att upptäcka och ta itu med nätfiske och andra bedrägerier, som till exempel Business Email Compromise (BEC).
Detta säkerhetstänkande upprätthålls av National Institute of Standards and Technology (NIST). I en NIST-publikation från 2018, "Security is everybody's job", anges fem kärnvärden som används för att skapa en cybersäkerhetskultur som NIST anser vara "kritisk" för en framgångsrik cybersäkerhetsställning:
Grundvärde ett - Mindset
NIST menar att en kultur för cybersäkerhet är grundläggande för att ge hela organisationen ett säkerhetstänkande. Denna grundsten för företagssäkerhet skapar förutsättningar för bättre säkerhet genom medvetenhet om de knep och bedrägerier som leder till dataexponering, utpressningstrojaner och andra säkerhetsöverträdelser.
Andra kärnvärdet - Ledarskap
Tonen för säkerhetsansvaret måste komma uppifrån för att uppmuntra och genomdriva det säkerhetstänkande som krävs för att avvärja cyberattacker.
Detta toppstyrda ledarskap inom säkerhet formaliseras, eftersom Gartner, Inc. förutspår att "år 2025 kommer 40 % av styrelserna att ha en särskild kommitté för cybersäkerhet som övervakas av en kvalificerad styrelseledamot". Ledare bör föregå med gott exempel och agera för att påverka och modellera goda säkerhetsvanor.
Grundvärde tre - Utbildning och medvetenhet
NIST erkänner att en grundläggande byggsten i en säker organisation är att införa utbildning i säkerhetsmedvetenhet. Genom att utbilda de anställda i sociala ingenjörskonster och utbilda dem i att upptäcka phishingmejl kan de anställda "slå igen dörren till cyberhotet" i ansiktet på cyberkriminella.
Grundvärde fyra - Resultatstyrning
Organisationens mål måste överensstämma med individuella prestationsmål. NIST föreslår att man använder sig av incitament och avskräckande åtgärder för att hjälpa till att ändra dåligt cybersäkerhetsbeteende.
Grundvärde fem - teknisk och politisk förstärkning
Tekniska åtgärder, t.ex. flerfaktorsautentisering (MFA) och lösenordspolicy, bör användas för att förstärka och upprätthålla god säkerhetshygien.
Cybersäkerhet genom cyberansvar
Cybersäkerhet är allas ansvar. Men när man gör någon ansvarig för något måste man ge honom eller henne verktyg för att kunna ta sitt ansvar.
För att påbörja processen att bli en cyberansvarig organisation måste företaget skapa en kultur där säkerhet är en självklarhet. Människor är naturligt samarbetsvilliga, och en ansvarskänsla kan odlas genom att implementera de fem kärnvärdena från NIST, som visas ovan.
Med hjälp av dessa värderingar kan du understryka och upprätthålla en känsla av ansvar för cybersäkerhet och ge medarbetarna möjlighet att ta detta ansvar och agera som en gemensam kraft mot sociala ingenjörsattacker.
