ビジネスセキュリティ

知識は、従業員が脅威に対する防御の最前線になれる強力な武器です。

フィル・マンカスター

10月19 2023  •  , 5分。 読んだ

今年の XNUMX 月もサイバーセキュリティ啓発月間 (CSAM) の時期です。 これは、消費者と企業の両方の世界にまたがる意識向上の取り組みですが、クロスオーバーもたくさんあります。結局のところ、すべての従業員も消費者です。 実際、自宅やお気に入りのリモート ワークスペースで仕事をすることが増えているため、 線がこれほどぼやけたことはありません。 残念ながら、同時に、侵害のリスクがこれほど深刻になったことはありません。

より安全なサイバー世界の構築はここから始まります。 では、IT 責任者は現在および 2024 年に向けて、セキュリティ意識向上プログラムに何を組み込むべきでしょうか? 確実に対処することが重要です。 今日と明日のサイバー脅威、昔のようなリスクではありません。

なぜトレーニングが重要なのか

による ベライゾン、過去 74 年間の世界的なすべての侵害の XNUMX 分の XNUMX (XNUMX%) には「人的要素」が含まれており、多くの場合、エラー、過失、またはユーザーを意味します。 フィッシングの被害に遭う そしてソーシャルエンジニアリング。 セキュリティのトレーニングと意識向上プログラムは、これらのリスクを軽減するための重要な方法です。 しかし、成功への迅速かつ簡単な道はありません。 実際、求めるべきはトレーニングや意識向上ではなく、どちらも時間の経過とともに忘れられてしまうものです。 それは長期的にユーザーの行動を変えることです。

それ 起こり得るだけ プログラムを継続的に実行すると、常に学習を念頭に置くことができます。 そして、誰も逃さないようにすること、つまり派遣社員、請負業者、経営幹部も含めることを意味します。 誰でもターゲットになる可能性があり、たった XNUMX つの間違いで悪者が侵入する可能性があります。また、メッセージが定着する可能性を高めるために、セッションを一口サイズの塊で実行します。 可能であれば、シミュレーションを含めたり、 ゲーミフィケーションの演習 生命に特定の脅威をもたらすこと。

私たちがしたように 前に述べました、レッスンを特定の役割や分野に合わせてカスタマイズして、より個人に合ったものにすることもできます。 また、ゲーミフィケーション技術を追加すると、トレーニングをより継続的で魅力的なものにするのに役立つ場合があります。

現在および 3 年に含めるべき 2024 つの分野

2023 年の終わりが近づいている今、来年のプログラムに何を含めるかを考えるのは有益です。 次のことを考慮してください。

1) BEC とフィッシング

ビジネスメールの侵害 標的を絞ったフィッシング メッセージを悪用した (BEC) 詐欺は、依然として最も収益の高いサイバー犯罪カテゴリの XNUMX つです。 場合によっては FBIに報告されました 昨年、被害者は2.7億ドル以上を失いました。 これは基本的にソーシャル エンジニアリングを前提とした犯罪であり、通常は被害者をだまして詐欺師の管理下にある口座への企業資金送金を承認させることによって行われます。

CEO やサプライヤーになりすますなど、これを達成するさまざまな方法があり、これらは適切に組み込むことができます。 フィッシング啓発演習。 これらは、高度な電子メール セキュリティ、堅牢な支払いプロセス、支払いリクエストの二重チェックへの投資と組み合わせる必要があります。

フィッシング自体は何十年も前から存在していますが、依然として企業ネットワークへの初期アクセスの主な経路の 2024 つです。 そして、在宅ワーカーやモバイルワーカーの注意力のおかげで、悪者が目標を達成する可能性はさらに高くなります。 しかし多くの場合、戦術は変化しており、フィッシングに対する意識向上の取り組みも変化する必要があります。 ここで、ライブ シミュレーションがユーザーの行動を変えるのに本当に役立ちます。 XNUMX 年に向けて、テキスト アプリやメッセージング アプリを介したフィッシングに関するコンテンツを含めることを検討してください (smishing)、音声通話(ヴィッシング) や多要素認証 (MFA) バイパスなどの新しい技術。

特定のソーシャル エンジニアリング戦術は非常に頻繁に変更されるため、コンテンツをそれに応じて更新できるトレーニング コース プロバイダーと提携することをお勧めします。

2) リモートおよびハイブリッド作業のセキュリティ

専門家はかねてより、在宅勤務中は従業員がセキュリティに関するガイダンスやポリシーを無視したり、単に忘れたりする可能性が高いと警告してきた。 XNUMXつ 研究 たとえば、夏の金曜日に自宅で仕事をすると、よりリラックスして気が散ってしまうと労働者の 80% が認めていることがわかりました。 これにより、特にホーム ネットワークやデバイスが企業の同等のネットワークに比べて十分に保護されていない場合、侵害のリスクが高まる可能性があります。 そして、ここでトレーニング プログラムが介入し、ラップトップのセキュリティ アップデート、パスワード管理、企業が承認したデバイスのみの使用に関するアドバイスを提供する必要があります。 フィッシング啓発トレーニングと並行して行う必要があります。

さらに、 ハイブリッド勤務が標準になっている 今日の多くのビジネスにとって。 XNUMXつ 研究の主張 現在、53% が保険を持っており、この数字は確実に増加するでしょう。 ただし、オフィスへの通勤や公共の場所での勤務にはリスクが伴います。 XNUMX つは公衆 Wi-Fi ホットスポットからの脅威で、モバイル ワーカーが中間者攻撃 (AitM) 攻撃にさらされる可能性があります。この攻撃ではハッカーがネットワークにアクセスし、接続されたデバイスとルーターの間を移動するデータを盗聴することや、「悪の双子」の脅威が発生します。犯罪者が特定の場所に正規の Wi-Fi ホットスポットを装って重複した Wi-Fi ホットスポットを設定する場合です。 

「ハイテク」リスクも少なくなります。 トレーニングセッションは、スタッフに危険性を思い出させる良い機会となる可能性があります。 ショルダーサーフィン.

3) データ保護

GDPR の罰金 増加した 規制当局による違反の取り締まりにより、年間168％増となり、2.9年には3.1億ユーロ（2022億ドル）を超えた。 これは、組織がスタッフがデータ保護ポリシーに正しく従っていることを確認するための非常に強力な根拠となります。

定期的なトレーニングは、データ処理のベスト プラクティスを念頭に置くための最良の方法の XNUMX つです。 これは、強力な暗号化の使用、適切なパスワード管理、デバイスの安全性の維持、インシデントが発生した場合は直ちに関連連絡先に報告することなどを意味します。

また、スタッフは、意図しない電子メール データ漏洩につながる一般的な間違いであるブラインド カーボン コピー (BCC) の使用方法の見直しや、その他の技術トレーニングからも恩恵を受ける可能性があります。 そして、ソーシャルメディアに投稿する内容を機密にすべきかどうかを常に検討する必要があります。

トレーニングと啓発コースは、あらゆるセキュリティ戦略の重要な部分です。 しかし、彼らは孤立して働くことはできません。 組織は、モバイル デバイス管理などの強力な制御とツールを使用して、防水性の高いセキュリティ ポリシーを適用する必要もあります。 「人材、プロセス、テクノロジー」は、より安全な企業文化を構築するのに役立つ合言葉です。