ゼファーネットのロゴ

セキュリティの悪い習慣トップXNUMXとそれらを打破する方法

日付:

SecureframeのCEOであるShravMehtaは、コストのかかる侵害やランサムウェア攻撃を防ぎ、フィッシングベースのエンドポイント攻撃を防ぐためにセキュリティチームが破る必要のある上位XNUMXつの悪い習慣について概説しています。

サイバー犯罪は増加傾向にあり、攻撃はより速く、より微妙になり、ますます巧妙になっています。 サイバー攻撃に関連するデータ侵害の数 27年のピンク2021% —減速の兆候を示さない上昇傾向。

同じパスワードを複数回使用するなどの悪いセキュリティ習慣は無害に見えるかもしれませんが、チェックされていない悪い動作やセキュリティ習慣は、組織を壊滅的な侵害にさらす可能性があります。

悪いセキュリティ習慣は企業に数百万ドルの費用をかけます。 これを考慮して、データ侵害の平均コストに達しました インシデントあたり4.24万ドル 2021年には、17年間で最高でした。

ハッカーがサーバーを侵害して機密データを盗んだ場合、会社の終焉を招く可能性があります。 このリストでは、最も一般的な6つの悪いセキュリティ習慣と、データを保護して悪意のある攻撃を防ぐためにそれらを修正する方法について説明します。

1.パスワードの衛生状態が悪い

60以上 すべてのデータ侵害の割合は、盗まれた、または弱い資格情報に関係しています。 同じパスワードを使用し、パスワードを共有し、付箋紙にパスワードを書き留めます—セキュリティリーダーとして、私たちは何年にもわたって同じひどいパスワードの慣行を見てきました。 攻撃者の仕事を簡単にしないでください!

習慣を破る:全社的なパスワードポリシーを確立し、パスワードマネージャーを使用し、多要素認証を有効にして、アカウントへの不正アクセスのリスクを軽減します。 パスワードポリシーには、強力なパスワードの作成に関するガイドライン、パスワードを更新する頻度、および従業員間でパスワードを安全に共有する方法に関する指示を含める必要があります。

2.複雑なプロセスとポリシー

オンボーディングチェックリストからプライバシーポリシーまで、これらのドキュメントは、チームがどのように作業を行い、日常業務で使用されるかを反映する必要があります。ドラフトされてからどこかのフォルダに忘れられることはありません。 これらのポリシーについて定期的に検討し、観察された課題とリスクに基づいて改善を行う必要があります。

習慣を破る: チームの定期的なポリシーレビューと承認を確立します。 ポリシーとプロセスがチームの実際の作業方法を反映していることを確認し、全社的な賛同を得るために、積極的にフィードバックを求めます。

3.古いソフトウェアと安全でないデバイス

在宅勤務は何年にもわたって成長傾向にありますが、過去XNUMX年間で、チームが協力する場所、時期、方法に大きな変化が見られました。 そのすべての利点のために、自宅での仕事の台頭はまた、重大なセキュリティ上の課題をもたらします。

安全でないWi-Fiを使用したり、仕事用デバイスと個人用デバイスを混在させたり、定期的なデータバックアップやソフトウェア更新をスキップしたりする人が増えています。最終的に会社を屈服させる最も弱いリンクであることは、楽しい経験ではありません。

習慣を破る: ソフトウェアの自動更新とパッチにデバイス管理ソリューションを使用し、モバイルデバイスポリシーを確立し、機密データにアクセスするために会社のデバイスと安全なVPNのみを使用するようスタッフに促します。

4.内部監査プログラムの欠如

適切なセキュリティポリシーと手順を確立したとしても、それらを生きた文書として扱う必要があります。 継続的テストと定期的な内部監査は、セキュリティプログラムがどのように成熟しているか(または成熟していないか)を理解し、新たに発生し拡大する脅威を常に認識し続けるために不可欠です。

習慣を破る: 内部監査プログラムを作成して、少なくとも年にXNUMX回はセキュリティ体制を確認し、改善の機会を特定します。 これにより、対処する必要のある脅威の状況に対する変更を常に把握できます。

5.訓練を受けていないスタッフ

フィッシングとマルウェアは、ランサムウェアを含むセキュリティインシデントの最も一般的な原因の一部です。 セキュリティのベストプラクティスについてスタッフを定期的にトレーニングし、セキュリティが全社的な優先事項であることを全員が確実に理解できるようにします。

習慣を破る: 少なくとも年に一度、セキュリティ意識向上トレーニングを実施してください。 ランダムかつ定期的に従業員/ユーザーをテストして、ベストプラクティスを常に認識し、それに従っていることを確認します。

6.自己満足

あまりにも多くの組織が、侵害やセキュリティインシデントは実際には起こらないと信じています。 セキュリティとコンプライアンスは、IT部門だけの関心事ではありません。 経営陣や取締役会から最新の従業員採用まで、組織全体のすべての人が、ビジネスが直面している脅威と、顧客および会社のデータを安全に保つ上での役割と責任を理解する必要があります。

習慣を破る: セキュリティを優先し、その重要性を理解する文化を作るように努力してください。 すべての従業員が顧客とビジネスの情報を安全に保つことに関する自分の役割と責任を理解し、確立されたポリシーと手順に従うことの利点を明確に伝えるようにします。

ほとんどのセキュリティの脅威とリスクは体系的に防止可能であり、常識的なアプローチ、継続的なコンプライアンステスト、評価、監査、および測定を通じて対処できます。 これらの実用的なアプローチについて従業員をトレーニングできるほど、コストのかかるデータ侵害やセキュリティインシデントをうまく回避できる可能性が高くなります。

Shrav Mehta、CEO、 セキュアフレーム、自動化コンプライアンスプラットフォーム。

スポット画像

最新のインテリジェンス

スポット画像