Usposabljanje o informacijski varnosti
Zagotovite usposabljanje o informacijski varnosti svojim zaposlenim. Seznanite se s...
Preberi večUsposabljajte zaposlene za močnejšo kibernetsko varnost
By Staša
Ljudje delamo napake. Ravnajte temu primerno.
Ključna komponenta vseh organizacij so ljudje in ljudje nismo popolni. Pravzaprav kar 85 % kršitev podatkov predstavlja posledico človeške napake. Da bi zmanjšali tveganje kibernetskih groženj in zaščitili svojo organizacijo pred različnimi varnostnimi tveganji in posledicami, je torej nujno razmisliti o usposabljanju za ozaveščanje o informacijski varnosti.
Za kibernetski incident je potrebna le ena napaka v presoji. Zato bodo bolje usposobljeni zaposleni pomagali bistveno zmanjšati tveganje zaradi nenamerne kršitve, ali tveganje povezano z neznanjem – npr. kliki na lažno e-poštno sporočilo zaradi slabe presoje.
Usposabljanje je najučinkovitejše, če zajema vse relevantne teme:
- računi in gesla,
- e-pošta,
- splet, družbena omrežja in komunikacijski kanali,
- varnost osebnih računalnikov in mobilnih naprav,
- varovanje zaupnih podatkov in
- simulacija lažnega predstavljanja (phishing).
Prva obrambna linija: Moč dobrega gesla
Napadalci lahko pridobijo vaše poverilnice (uporabniško ime in geslo) z najbolj kreativnimi pristopi in številnimi različnimi metodami. Telefonski klic z zahtevo po geslu, e-poštna zahteva za spremembo gesla ali številke računa, zahteva za plačilo storitve, ki ni bila nikoli naročena … vse to so opozorilni znaki, da se dogaja nekaj zlonamernega. Odziv mora biti podoben kot takrat, ko vaš avto začne spuščati sumljive zvoke: če sami ne morete najti vzroka, je čas, da poiščete strokovnjaka, ki vam bo zagotovil potrebno pomoč.
Vsako podjetje bi moralo imeti močno politiko upravljanja z gesli. Če se boste držali preprostih gesel, sestavljenih iz ene vrste znakov, boste vsakogar dramatično izpostavili kibernetskemu napadu. Po Microsoftovem poročilu Digital Defense Report za leto 2022** se je število napadov z gesli povečalo na približno 921 napadov vsako sekundo! Zato je ozaveščanje zaposlenih o pravilni uporabi gesel ključnega pomena.
Kakšna so osnovna pravila za gesla?
- vsaj 12 mešanih znakov
- ne delite in ne razkrivajte svojih gesel drugim
- redno jih spreminjate
- uporabite različna in kreativna gesla
- Uporabite upravitelja gesel, kot sta LastPass ali Dashlane
- Omogočite dvo- ali večstopenjsko avtentikacijo (MFA)
Uporabljajte dolga zapletena gesla, ki si jih je enostavno zapomniti. Geslo, kot je ‘Mi2Pleševa5xNaDan!’ bo podaljšalo čas za razbijanje gesla na 2 milijardi let! *
Ali ste vedeli, da lahko geslo, kot je ‘password’, heker razbije 431-krat, medtem ko pomežiknete z očesom? S pravo mero ustvarjalnosti lahko ustvarite zapletena gesla, ki si jih je lahko zapomniti, in bodo omogočala odlično zaščito. Na primer: z uporabo ‘Mi2Pleševa5xNaDan!’ ‘ je potreben čas za razbijanje vašega gesla s trenutno tehnologijo kar 2 milijardi let! *
Razvijajoče se okolje ribarjenja (phishinga)
Ali veste, koliko časa potrebuje phishing napadalec za dostop do vaših podatkov, če postanete žrtev njegovega napada? Samo 72 minut. Ko je naprava ogrožena, potrebuje v povprečju le še 100 minut, da se začne premikati po celem podjetju. Glede na to, da samo Microsoft Defender na teden blokira šokantno količino 710 milijonov lažnih e-poštnih sporočil, lahko razumete razsežnost grožnje, ki jo vsak zaposleni lahko predstavlja za vašo organizacijo.
Če postanete žrtev lažnega predstavljanja, lahko ostanete brez posla še pred kosilom.
Ker napadalci uporabljajo vedno bolj zapletene tehnike, morajo organizacije redno posodabljati svojo strategijo za implementacijo varnostnih rešitev. Posamezni uporabniški računi potrebujejo močan nadzor dostopa za blokiranje zlonamerne e-pošte. Skrbniki IT varnosti vaše organizacije se morajo zanašati na programske zmožnosti filtriranja e-pošte, vendar je to le del rešitve. Da bi povečali stopnjo blokiranih e-poštnih sporočil, se morajo uporabniki zavedati kibernetskih groženj, biti aktivno vključeni in sposobni izvajati zaščitne ukrepe.
Prilagodite usposabljanje zaposlenim
Upoštevajte, da nekateri ljudje morda potrebujejo precej časa za učenje, nekateri pa bodo lahko napisali varnostno kodo med spanjem. Dovolite slednjim, da postanejo vaši zagovorniki kibernetske varnosti in vodijo druge k istemu cilju.
Glede na študijo univerze Stanford skoraj polovica zaposlenih priznava, da so prepričani, da so pri delu naredili napako, ki je imela varnostne posledice za njih ali za njihovo podjetje. Številka, ki bi morala vsakega delodajalca spraviti na noge, kajne?
Med tistimi, ki so bili prepričani, da je bila storjena takšna napaka, je bila polovica zaposlenih starih od 18 do 30 let, starejših od 51 let pa le 10 %. So torej starejši bolj zanesljivi in odgovorni, zato ravnajo po varnostnih ukrepih?
Žal ne. Raziskava kaže, da je vzrok v tem, da se mlajši delavci bolj zavedajo, da je bila storjena napaka, in so napako bolj pripravljeni priznati.
Starejše generacije se lahko preprosto ne zavedajo, da lahko vsakodnevne dejavnosti, kot je povezovanje osebne naprave z omrežjem, preverjanje osebne e-pošte na službenem računalniku ali klik in zapiranje sumljive e-pošte brez poročanja o morebitni nevarnosti, povečajo verjetnost uspešnega kibernetskega napada. Poleg tega lahko menijo, da se priznanje napake dojema kot sramota, saj sta spoštovanje in samopodoba za njih pomembnejša v delovnem okolju kot pri mlajši generaciji.
Spodbujajte močno kulturo kibernetske varnosti
Močna varnostna kultura je povezana z vsakodnevnimi procesi, zato zaposleni potrebujejo okvir, ki jim pomaga razumeti, kaj je potrebno narediti za ohranjanje varnosti. Trajnostna kultura varnosti zahteva, da so vključeni vsi v organizaciji in ne le varnostni oddelek – kot še vedno menijo številna podjetja. Vsaka organizacija običajno že ima nekakšno varnostno kulturo, vendar bi se morala ta nenehno razvijati skladno z novimi nastajajočimi grožnjami informacijski varnosti.
Upoštevajte, da vaši zaposleni želijo aktivno prispevati k varnosti – le poučiti jih je treba kako.
Z ustreznim usposabljanjem in usmerjanjem v okviru doslednega, stalnega procesa dviga digitalne kulture v organizaciji, se bodo zaposleni znali pravilno odločiti, ko bodo naleteli na poskus socialnega inženiringa. Zaposlene je treba spodbujati, da gojijo občutek skupne odgovornosti za varnost organizacije, tako da svoje izkušnje in znanje o kibernetski varnosti delijo s sodelavci. Na splošno si vaši zaposleni želijo prispevati k varnosti – le poučiti jih je treba kako.
Cilj ozaveščanja zaposlenih o kibernetski varnosti je ustvariti okolje, v katerem se ljudje počutijo močne in opolnomočene, da so lahko aktivni udeleženci pri zagotavljanju varnosti in ne nemočne žrtve kibernetske kriminalitete.
Nudimo vam usposabljanja, ki angažirajo vaše zaposlene, sistemske varnostne preglede za ugotavljanje morebitnih ranljivosti in še več! Če potrebujete več informacij, nas kontaktirajte in z veseljem vam pomagamo.
Sklici in viri
* Izračun je narejen s pomočjo spletnega orodja https://www.passwordmonster.com/
** Poročilo Microsoft Digital Defense Report 2022; https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022, (internetni vir, 12.05.2023)
© 2023 ANGELIS d.o.o. Vse pravice pridržane.