A szigorúbb szabályzatoktól a gyakoribb tesztelésig körvonalaztuk annak a módját, hogyan viselkedjenek a különböző csapatok a nagyobb kiberbiztonság eléréséhez.
Egyetlen vállalat sem mentes az emberi tévedésektől. Függetlenül attól, hogy bírósági dokumentumokat kell sietősen feldolgoznia, az iskolában írja át a óratervet, vagy a vállalat átszervezésével kapcsolatos dokumentumokat küldi el e-mailben, időnként mindnyájan hibázhatunk. Azonban, amint azt nemrégiben megbeszéltük, az alkalmazottak által elkövetett hibák (másként belső kockázat), az adatbiztonság súlyos megsértéséhez vezethetnek, ami kedvezőtlen visszhangot kelthet a vállalatnál, de akár a kiszolgált ügyfelek körében is.
Szerencsére ma már mindnyájan hozzáférünk a legújabb technológiákhoz, amelyek megfelelő konfiguráció esetén további védelmi rétegeket adnak hozzá adatbiztonsági megközelítésünkhöz. De a kis- és középvállalatoknak (kkv-knak) nem csak a technológián kell elgondolkozniuk, hanem azon is, mennyire ismerik munkatársaik a kiberbiztonsági kockázatokat, és ahol lehetséges, meg kell erősíteniük az IT-vel kapcsolatos biztonságos viselkedési mintákat. Felmérésünkben az európai kkv-k 5770 IT-döntéshozója vett részt, és a harmaduk (28%) az alkalmazottak hiányos tudására vagy képzettségére hivatkozott a megnövekedett IT-biztonsági aggályok okaként.
Mielőtt belemerülnénk annak részleteiben, hogyan erősítheti meg a biztonságos IT viselkedési mintákat, nézzük meg, bizonyos alkalmazottaknál miért nagyobb a valószínűsége annak, hogy belső kockázatot jelent, mint másoknál.
Az alkalmazotti kockázat mértéke
A aktuális kiberbiztonsági képzési folyamatok és az alkalmazottak általános gondossága hozzájárulnak a biztonságos IT viselkedési minták kialakulásához. Bizonyos alkalmazottak azonban nagyobb kockázatot jelentenek. Előfordulhat, hogy a szerződéses vállalkozók nem olyan tájékozottak a vállalat biztonsági szabályzatával kapcsolatban, mint az állandó alkalmazottak, ezért nincsenek tisztában valamennyi legújabb kötelezettséggel. Az új alkalmazottak, miközben több rendszer használathoz szoknak hozzá, vagy olyan feladók e-mailjeit böngészik, akiknek még a nevére sem nagyon emlékeznek, mind célpontok lehetnek.
A hibrid munkavégzés szintén kockázati tényező. A csapatok folyton mozgásban vannak, vagy vannak egyesek, akik gyakran egy helyi kávéházból dolgoznak? A külső hálózatokhoz való csatlakozás és a nyilvános helyeken történő munkavégzés ellentétes lehet a szokásos biztonsági gyakorlatokkal. Tehát, hogyan érheti el, hogy a vállalatnál dolgozó minden személy ugyanúgy, a biztonságos IT viselkedési minták szerint járjon el?
A leghasznosabb tippek a biztonságos IT viselkedési minták megerősítéséhez
Kiberbiztonsági képzés előtérbe helyezése
Az összes munkatársat, a teljes munkaidős, irodába bejáró alkalmazottól a telephelyre árukat szállítókig téjékoztatni kell a kockázati szintekről. A vállalata rendszereit érheti például a működés leállítását célzó támadás, és előfordulhat, hogy az alkalmazottak nem tudják, hogy külső szoftver vállalati rendszerekre való letöltésével a kiberbűnözők szabad utat kaphatnak a behatoláshoz.
A munkatársaknak és a szerződéses vállalkozóknak tudniuk kell, hogyan azonosítsák az adathalász támadásokat. Ha egy alkalmazottól hirtelen személyes adatok sürgős megadását kérik, vagy arra utasítják, hogy telefonon vagy azonnali üzenetben lépjen kapcsolatba a feladóval, ennek azonnal gyanút kell keltenie. Az alkalmazottakat rendszeres képzésben kell részesíteni, hogyan azonosítsák, és adjanak választ ezekre az incidensekre, azt is beleértve, hogyan elemezzék a feladó címét vagy számát, és hogy automatikusan továbbítsák az esetet az IT-részlegeknek. A képzési eljárások magukban foglalhatnak adathalász és rosszindulatú támadásokat szimuláló teszteket, annak bemutatására, milyen könnyű célponttá válhat az alkalmazott, és milyen sérülékeny a támadásokkal szemben.
Az adathalász támadások mellett az alkalmazottak biztonsági képzésének ki kell térnie olyan témakörökre, mint a smishing támadás (csaló szöveges üzenetek), pszichológiai manipuláción alapuló támadások, közösségi médiahasználat, biztonságos fájlmegosztás és biztonságos internetböngészés.
A kiberbiztonsági szabályzatok szigorú betarttatása
Érdemes megjegyezni, hogy az adatokkal való visszaélések 74%-áról állítják, hogy emberi tényező is szerepet játszott benne, és az általunk kérdezett IT-vezetők egyharmada (30%-a) ma már jobban aggódik a hibrid munkavégzés okozta biztonságtechnológiai kockázatok miatt. Ezért fontosabb, mint valaha a felsővezetéstől a munkavállalókig terjedő, átfogó kiberbiztonsági szabályzatok implementálása világos és átlátható kommunikációval.
Ez magában foglalja azt is, hogy az alkalmazottak tudják, hogyan használhatják megfelelően a vállalati eszközöket és rendszereket. Riasztó, hogy kutatásunk szerint a kkv-k biztonsági képzésének háromnegyede (76%-a) nem terjed ki a nyomtató vagy a lapolvasó használatára, annak ellenére, milyen fontos, hogy az alkalmazottak biztonságosan tudják használni ezeket az eszközöket.
A kiberbiztonsági szabályzatoknak világos utasításokat kell tartalmazniuk a nyilvános Wi-Fi-hálózatok használatához is. Ennek oka, hogy a nem biztonságos kapcsolatok káros rosszindulatú támadásokhoz vezethetnek, és véletlenül még a néhány e-mail gyors elküldésének erejéig bejelentkező alkalmazott is kárt okozhat.
Ez még nem minden, a szabályzatnak a vállalati VPN használatára és bejelentkezéskor egy további azonosítási rétegként többtényezős hitelesítés (MFA) beállítására is bátorítania kell alkalmazottait. Ezenkívül figyelmeztetnie kell a munkahelyi platformok személyes eszközökön keresztül történő elérésének kerülésére, valamint emlékeztetnie a munkavállalókat, hogy soha ne osszák meg jelszavaikat.
Maradjon tájékozott az alkalmazottak jelentette kockázatokról
A fentiek egyikét sem lehet hatékonyan végrehajtani, ha maguk a szabályzatok készítői és az IT-részleg nem jól tájékozott a legújabb kockázatokról. Természetesen az olyan kockázatok, mint amit az új alkalmazottak vagy a vállalatot elhagyók jelentenek, örökzöldek. Fontos azonban az újabban felmerülő fenyegetésekkel, például új szerződéses partnerekkel való együttműködéssel vagy az alkalmazottak által használt, a szabályzatban nem szereplő, harmadik féltől származó alkalmazások használatával kapcsolatban is tájékozottnak maradni.
Ugyanakkor a vezetőknek olyan munkakörnyezet kialakítását is támogatniuk kell, ahol az IT-munkatársak kiberbiztonsági képzésen vehetnek részt. Az alkalmazottakat bátorítaniuk kell, hogy rákérdezzenek vagy jelentsenek minden biztonsággal kapcsolatos aggályt, hogy azokat magasabb szinten elbírálhassák, mivel ezzel növelhetik az általános tájékozottságot a keresendő fenyegetéstípusokkal kapcsolatban.
Kockázattudatos munkaerő technológiai támogatással
Az IT-biztonsága csak annyira hatékony, mint a munkatársai. A vállalati vezetőknek és IT-szakembereknek azonban nagyon oda kell figyelniük arra, hogyan támogathatja a technológia a munkaerőt az emberi tévedések megelőzésében.
Az IT-vezetők egyharmada nem különösebben magabiztos (14%) vagy nem magabiztos (15%) azzal kapcsolatban, hogy az alkalmazottak megfelelő tudással rendelkeznek az IT-biztonsági kockázatokról. De ennek nem kell így lennie. Tippjeink követésével az alkalmazottak és szerződéses vállalkozók bővíthetik a különféle kockázatokról és tevékenységeik következményeiről szerzett tudásukat. További támogatási rétegként a Sharp átfogó, személyre szabott biztonsági megoldások és szolgáltatások széles skáláját nyújtja, hogy a kkv-k védettek legyenek az emberi tévedésekkel szemben.
Fedezze fel a Sharp biztonsági szolgáltatásait és megoldásait.