Antalet ransomware-attacker på företag har ökat markant under pandemin. Eftersom fler människor jobbar hemifrån och organisationer skyndar sig att uppdatera sin infrastruktur för att klara av distansarbete, uppstår ofta säkerhetsbrister. Företag är mer sårbara för cyberattacker och enligt KPMG är chansen att en ransomware-attack lyckas mycket högre när människor arbetar på distans. Attacken mot Colonial Pipeline Company i USA, lösensumman på 50 miljoner dollar som krävdes av datortillverkaren Acer och andra högprofilerade ransomware-attacker har gjort det klart att företag måste agera. En del av anledningen till att ransomware-attacker är mer framgångsrika med fjärrarbete är svagare säkerhet i hemmets IT-system, men en betydande orsak är också mänsklig sårbarhet. Ransomware-angripare utnyttjar oron kring Covid-kriserna för att lura intet ont anande anställda att klicka på länkar och engagera sig i skadlig skadlig programvara. Genom att använda information om vacciner, masker och handsprit kan dåliga aktörer locka medarbetarna att vidta önskade åtgärder. Det bästa sättet att skydda mot sådana attacker är att utbilda och stärka anställda. Det är därför företag måste investera i utbildning för medvetenhet om cybersäkerhet för anställda.
Se även: 'Ransomware Task Force' Bildad för att hantera ökande attacker
Behovet av cybersäkerhetsmedvetenhet
Det finns tre huvudkomponenter i en organisations cybersäkerhet: teknik, protokoll/policyer och människor. I takt med att hoten utvecklas gör säkerhetstekniker det också. Genom att ha rätt policyer och säkerhetsprotokoll på plats kan organisationer förhindra cyberattacker och minimera skador orsakade av framgångsrika intrång. De mänskliga komponenterna i cybersäkerhet är kanske de viktigaste och ironiskt nog ofta de mest försummade. De bästa säkerhetsteknikerna och säkerhetspolicyerna kommer att misslyckas om de personer som arbetar i en organisation inte är ordentligt utbildade och medvetna om riskerna för cybersäkerhet. Ett fort kan ha det bästa försvaret som en stark port och en vallgrav fylld med krokodiler, men det kommer inte att vara till någon nytta om soldaterna på vakt omedvetet sänker vindbron och släpper in angripare. Att förstå mänskligt beteende är avgörande för att förstå behovet av medvetenhet . Människor kan vara vårdslösa och slarviga. De kommer att vara särskilt sårbara om de inte vet hur en attack kan se ut och inte har information om hotbilden. Det är därför organisationer måste skapa cybersäkerhetsmedvetenhetsutbildningar för anställda som fokuserar på hur anställda kan påverka verksamhetens säkerhet och vilka risker de behöver vara på sin vakt mot.
Bästa metoder för utbildning i säkerhetsmedvetenhet
1. Fortsätt att lära dig lite
När du utformar träningsprogrammet, dela upp ämnena i bitar. Inom varje chuck skapa lagom stort innehåll som är lätt att konsumera. Detta kommer att göra träningen mer effektiv. Att bryta information i mindre bitar kommer att förhindra att anställda känner sig överväldigade. Studier visar att efter en timme behåller människor bara hälften av den information som presenterades för dem [1]. Du kan öka retention och återkallelse genom att förstärka träningen. Bitstor information kan konsumeras flera gånger utan att de anställda behöver investera mycket tid. Låt oss ta nätfiskemail som ett exempel, du kan börja din träning med en enkel video som förklarar konceptet och de potentiella farorna, som delas med alla anställda. Efter en tid kan du skicka ut falska nätfiskemail till din personal och se vem som gör misstaget att klicka på länkarna. Du kan ge mer detaljerad utbildning till de personer som behöver det och sedan skölja och upprepa. På så sätt ger du bara anställda den mängd utbildning de behöver. Om en anställd behåller informationen som delas i videon och inte faller för nätfiskemeddelandet, behöver den anställde inte investera mer tid i detaljerad utbildning.
2. Den högsta risken för den högsta belöningen
Fokusera på de största riskerna för din cybersäkerhet. Det finns många olika skadliga program, ransomware och hot där ute. Vilka är de som ditt företag är mest sårbara för? Vad skulle orsaka den största effekten? Vilka anställda utgör den största risken för cybersäkerhet? Genom att svara på dessa frågor kan du skapa ett träningsprogram som ger högsta avkastning på investeringen. När det kommer till organisationsomfattande utbildning bör ditt fokus ligga på att dela ditt företags mål och vision med anställda och uppmuntra designat beteende. Kom ihåg att alla inte behöver tränas på allt.
3. Var inte repetitiv
Det finns inget mer frustrerande och irriterande för anställda än att träna på saker de redan kan. Ofta kommer organisationer att upprepa sin utbildning eftersom de är oroliga för förlust av kvarhållning och återkallelse. Ett bra sätt att ta itu med denna fråga är att testa medarbetarna på deras kunskaper. Anställda som får bra betyg i testet behöver inte gå igenom utbildningen igen. För ett komplext eller långt utbildningsprogram kan du göra en sektionerad utvärdering, och anställda behöver bara gå de delar av programmet de presterat dåligt i. Detta är ett bra sätt att förbättra effektiviteten och effektiviteten i dina träningsprogram. Tester kan också skapa en känsla av intern konkurrens bland anställda och skapa incitament för dem att behålla det de lär sig så att de inte behöver upprepa programmet.
4. Lösenordslagring
Kunddata, personaldata, projektdetaljer är alla känsliga uppgifter som måste skyddas för att en organisation ska bli framgångsrik. Användningen av starka och säkra lösenord är avgörande i detta avseende. Bra lösenord förhindrar obehörig åtkomst till enheter och information. Ibland förbiser organisationer lösenordshygien när det gäller utbildning i säkerhetsmedvetenhet, eftersom de antar att anställda skapar starka lösenord enligt instruktioner från verktyget eller plattformen de använder, men detta behöver inte vara fallet. Att utbilda anställda i lösenordshygien är viktigt. Ibland gör anställda misstaget att skriva ner sina lösenord och lämnar informationen obevakad. Eller så kan de spara alla sina lösenord i en osäkrad fil på sina skrivbord. Detta är förbiseenden som hackare kan dra nytta av för att komma åt ett system.
5. Kontinuerlig träning är viktigt
Hotbilden kring cybersäkerhet förändras ständigt och därför bör utbildning i säkerhetsmedvetenhet också genomföras på en kontinuerlig basis. När nya hot och attacker identifieras bör anställda utbildas i hur man identifierar och skyddar sig mot dessa hot. Organisationer bör regelbundet testa anställda för att se hur mycket information de känner till och om några omskolningsprogram behöver genomföras. Eftersom många anställda arbetar hemifrån bör företag uppdatera sina befintliga program så att de kan tillhandahålla onlineutbildning i säkerhetsmedvetenhet till anställda. Om möjligt arbeta med en instruktionsdesigner för att skapa ett program som är heltäckande men koncist.
Det aktuella läget för cybersäkerhet och utbildning
95 % av cybersäkerhetsintrången beror på mänskliga fel[2]. Mänsklig intelligens och förståelse är det bästa försvaret mot de vanligaste nätfiskeattackerna. Fjärrarbetare kommer att fortsätta att vara ett mål för hackare 2021, och en ökning av distansarbete kommer att resultera i högre chanser för molnintrång. På senare tid har det skett en ökning av antalet cyberattacker mot småföretag. Detta är inte längre en fråga som bara storskaliga organisationer behöver oroa sig för. Kostnaden för en framgångsrik attack kan vara förödande för företag som inte gör investeringar i sin cybersäkerhet. 45 % av de anställda får ingen cybersäkerhetsutbildning från sina arbetsgivare [3]. Detta är en grov förbiseende eftersom de flesta framgångsrika ransomware-attacker är ett resultat av nätfiske som kan undvikas genom att skapa medvetenhet bland anställda.
Många chefer vet inte vad de ska göra i händelse av en säkerhetsincident eftersom verksamheten inte har policyer på plats. Det är absolut nödvändigt för företag att skapa dessa policyer och kommunicera dem till alla anställda. Policyerna bör vara lättillgängliga för referens på flera kanaler som personalhandboken, företagets interna kommunikationsverktyg etc. Policyer är ett utmärkt sätt att informera anställda om vad som är grundläggande hygien som krävs för säkerhet. De kan till exempel användas för att informera anställda om att de inte ska öppna några länkar som skickas från okända id, eventuella ovanliga förfrågningar från rapporterande chefer ska rapporteras till IT-teamet. Snabb respons är avgörande när hackare får tillgång till ett företags system. Genom att utbilda dina anställda ökar du chansen att säkerhetsattacker förhindras och i värsta fall rapporteras omedelbart till ditt säkerhetsteam så att de kan vidta nödvändiga motåtgärder.
När du utformar cybersäkerhetsutbildning för anställda, se bortom medvetenhet, det är viktigt för anställda att också implementera det de lär sig. Därför bör program också ha testande och praktiska komponenter. Gör programmet engagerande och belöna anställda som presterar bra i testning. Målet bör vara att medarbetarna ska sluta tänka på utbildningen som en skyldighet eller ett irritationsmoment. Säkerhet bör vara en del av din organisations kultur och alla anställda bör förstå vilken roll de spelar för att skydda mot hot. Mänsklig intelligens är fortfarande det bästa skyddet företag har mot cyberattacker.
Prenumerera på whitepapers.online för kvalitativa vitböcker, e-böcker och nyhetsbevakning från teknikens värld.
Utvald bild: Bakgrundsfoto skapat av rawpixel.com - www.freepik.com
Källor:
1. juni 2017, M. Bingham, "10 Stats About Learning Retention You'll Want to Forget", Bridge, [tillgänglig online] tillgänglig från:https://www.getbridge.com/en_gb/blog/10-stats- about-learning-retention-youll-want-forget/ [tillgänglig maj 2021]
2. december 2020, D. Milkovich, "15 Alarming Cyber Security Facts and Stats", Cybint, [tillgänglig online] tillgänglig från: https://www.cybintsolutions.com/cyber-security-facts-stats/ [tillgänglig maj 2021 ]
3. maj 2018, M. Williams, "Infographic: 10 statistics that show why training is the key to good data protection and cybersecurity", Pensar, [tillgänglig online] tillgänglig från: https://www.pensar.co.uk/ blog/cybersecurity-infographic [tillgänglig maj 2021]