Zakelijke beveiliging
Kennis is een krachtig wapen waarmee uw medewerkers de eerste verdedigingslinie tegen bedreigingen kunnen vormen
Oktober 19 2023 • , 5 minuut. lezen
In oktober is het weer Cybersecurity Awareness Month (CSAM). Dit is een bewustmakingsinitiatief dat zowel de consumenten- als de bedrijfswereld bestrijkt, al zijn er veel cross-overs: iedere medewerker is tenslotte ook een consument. Nu we steeds vaker vanuit huis of onze favoriete externe werkplek werken, de lijnen zijn nog nooit zo vaag geweest. Helaas zijn de risico's van compromissen tegelijkertijd nog nooit zo acuut geweest.
Het bouwen aan een cyberveiligere wereld begint hier. Dus wat moeten IT-bazen nu en in 2024 opnemen in hun bewustmakingsprogramma’s op het gebied van beveiliging? Het is belangrijk om ervoor te zorgen dat u te maken heeft met de cyberdreigingen van vandaag en morgen, niet de risico's van weleer.
Waarom training belangrijk is
Think Verizon, omvat driekwart (74%) van alle wereldwijde inbreuken van het afgelopen jaar het ‘menselijke element’, wat in veel gevallen fouten, nalatigheid of gebruikersfouten betekende slachtoffer worden van phishing en sociale engineering. Beveiligingstraining en bewustmakingsprogramma's zijn een cruciale manier om deze risico's te beperken. Maar er bestaat geen snelle en gemakkelijke weg naar succes. In feite is het niet zo dat u op zoek moet gaan naar opleiding of bewustmaking; beide kunnen na verloop van tijd vergeten worden. Het gaat om het veranderen van gebruikersgedrag voor de lange termijn.
ZIJN kan alleen maar gebeuren als u programma's continu uitvoert, zodat u de leerresultaten altijd in gedachten houdt. En zorg ervoor dat niemand iets mist, dat wil zeggen ook uitzendkrachten, opdrachtnemers en leidinggevenden op C-niveau. Iedereen kan een doelwit zijn, en er kan slechts één fout nodig zijn om de slechteriken binnen te laten. Voer sessies ook in hapklare brokken uit, zodat de kans groter is dat de berichten blijven hangen. En waar mogelijk, inclusief simulatie of gamificatie-oefeningen om een bijzondere levensbedreiging te veroorzaken.
Zoals we hebben eerder genoemdkunnen lessen zelfs worden gepersonaliseerd voor specifieke rollen en sectoren, om ze relevanter te maken voor het individu. En gamificatietechnieken kunnen een nuttige aanvulling zijn om training leuker en boeiender te maken.
Drie gebieden die we nu en in 3 moeten opnemen
Nu we het einde van 2023 naderen, loont het om na te denken over wat we in de programma's van volgend jaar moeten opnemen. Stel je de volgende situatie voor:
1) BEC en phishing
Compromis zakelijke e-mail (BEC)-fraude, waarbij gebruik wordt gemaakt van gerichte phishing-berichten, blijft een van de meest verdienende vormen van cybercriminaliteit. In gevallen gerapporteerd aan de FBI Vorig jaar verloren de slachtoffers ruim 2.7 miljard dollar. Dit is een misdaad die fundamenteel gebaseerd is op social engineering, meestal door het slachtoffer te misleiden zodat hij een bedrijfsfondsoverdracht goedkeurt naar een rekening die onder controle staat van de oplichter.
Er zijn verschillende methoden waarmee ze dit kunnen bereiken, bijvoorbeeld door zich voor te doen als een CEO of een leverancier, en deze kunnen netjes in bewustmakingsoefeningen voor phishing. Deze moeten worden gecombineerd met investeringen in geavanceerde e-mailbeveiliging, robuuste betalingsprocessen en het dubbel controleren van betalingsverzoeken.
Phishing als zodanig bestaat al tientallen jaren, maar is nog steeds een van de belangrijkste vectoren voor initiële toegang tot bedrijfsnetwerken. En dankzij afgeleide thuis- en mobiele werkers hebben de slechteriken een nog betere kans om hun doelen te bereiken. Maar in veel gevallen zijn de tactieken aan het veranderen, en dat geldt ook voor de bewustmakingsoefeningen op het gebied van phishing. Dit is waar live simulaties echt kunnen helpen om het gedrag van gebruikers te veranderen. Overweeg om voor 2024 inhoud over phishing op te nemen via sms- of berichtenapps (smishing), spraakoproepen (visen) en nieuwe technieken zoals het omzeilen van multi-factor authenticatie (MFA).
Specifieke social engineering-tactieken veranderen zeer vaak, dus het is een goed idee om samen te werken met een aanbieder van trainingen die de inhoud dienovereenkomstig kan bijwerken.
2) Beveiliging van werken op afstand en hybride
Deskundigen waarschuwen er al lang voor dat werknemers eerder geneigd zijn beveiligingsrichtlijnen en -beleid te negeren of deze simpelweg te vergeten wanneer ze vanuit huis werken. Een studies ontdekte dat 80% van de werknemers toegeeft dat thuiswerken op vrijdag in de zomer hen bijvoorbeeld meer ontspannen en afgeleid maakt. Hierdoor lopen ze een verhoogd risico op compromissen, vooral wanneer thuisnetwerken en apparaten mogelijk minder goed beschermd zijn dan bedrijfsequivalenten. En dit is waar trainingsprogramma's moeten ingrijpen met advies over beveiligingsupdates voor laptops, wachtwoordbeheer en het gebruik van alleen door het bedrijf goedgekeurde apparaten. Het zou een aanvulling moeten zijn op de bewustwordingstraining over phishing.
Verder, hybride werken is de norm geworden voor veel bedrijven vandaag de dag. Een studie beweringen 53% heeft nu een beleid, en dit cijfer zal zeker nog toenemen. Het woon-werkverkeer naar kantoor of het werken vanaf een openbare locatie brengt echter risico’s met zich mee. Eén daarvan betreft bedreigingen afkomstig van openbare Wi-Fi-hotspots die mobiele werknemers kunnen blootstellen aan Adversary-in-the-Middle-aanvallen (AitM), waarbij hackers toegang krijgen tot een netwerk en de gegevens afluisteren die tussen verbonden apparaten en de router worden uitgewisseld, en 'evil twin'-bedreigingen. waarbij criminelen op een specifieke locatie een dubbele Wi-Fi-hotspot opzetten die zich voordoet als legitiem.
Er zijn ook minder “hi-tech” risico’s. Trainingssessies kunnen een goede gelegenheid zijn om het personeel te herinneren aan de gevaren van schouder surfen.
3) Gegevensbescherming
GDPR-boetes meer 168% per jaar tot ruim € 2.9 miljard ($3.1 miljard) in 2022, omdat toezichthouders hard optreden tegen niet-naleving. Dat is een behoorlijk sterk argument voor organisaties om ervoor te zorgen dat hun personeel het gegevensbeschermingsbeleid correct volgt.
Regelmatige training is een van de beste manieren om de beste praktijken op het gebied van gegevensverwerking voorop te houden. Dat betekent onder meer het gebruik van sterke encryptie, goed wachtwoordbeheer, het veilig houden van apparaten en het direct melden van incidenten aan de betreffende contactpersoon.
Medewerkers kunnen ook profiteren van een vernieuwing in het gebruik van blind carbon copy (BCC), een veel voorkomende fout die leidt tot onbedoelde lekken van e-mailgegevens, en andere technische training. En ze moeten altijd overwegen of wat ze op sociale media plaatsen vertrouwelijk moet blijven.
Trainings- en bewustmakingscursussen zijn een cruciaal onderdeel van elke beveiligingsstrategie. Maar ze kunnen niet geïsoleerd werken. Organisaties moeten ook een waterdicht beveiligingsbeleid hebben dat wordt afgedwongen met krachtige controles en tools zoals het beheer van mobiele apparaten. ‘Mensen, processen en technologie’ is de mantra die zal helpen een meer cyberveilige bedrijfscultuur op te bouwen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
