İş Güvenliği
Bilgi, çalışanlarınızın tehditlere karşı ilk savunma hattı olmalarını sağlayacak güçlü bir silahtır
Ekim 19 2023 • , 5 dk. okuman
Bu Ekim ayında yine Siber Güvenlik Farkındalık Ayı (CSAM) zamanı. Bu, hem tüketici hem de kurumsal dünyaları kapsayan bir farkındalık artırıcı girişimdir, ancak birçok geçiş noktası vardır: sonuçta her çalışan aynı zamanda bir tüketicidir. Aslında, evden veya en sevdiğimiz uzak çalışma alanımızdan giderek daha fazla çalıştıkça, çizgiler hiç bu kadar bulanık olmamıştı. Ne yazık ki, aynı zamanda uzlaşma riskleri de hiçbir zaman bu kadar şiddetli olmamıştı.
Daha siber güvenli bir dünya inşa etmek burada başlıyor. Peki BT patronları şimdi ve 2024'te güvenlik farkındalığını artırma programlarına neleri dahil etmeli? ile ilgilendiğinizden emin olmak önemlidir. bugünün ve yarının siber tehditleri, geçmişin riskleri değil.
Eğitim neden önemlidir?
Göre VerizonGeçtiğimiz yıldaki tüm küresel ihlallerin dörtte üçü (%74) çoğu durumda hata, ihmal veya kullanıcı anlamına gelen "insan unsurunu" içeriyor kimlik avının kurbanı olmak ve sosyal mühendislik. Güvenlik eğitimi ve farkındalık programları bu riskleri azaltmanın kritik bir yoludur. Ancak başarıya giden hızlı ve kolay bir yol yoktur. Aslında aramanız gereken şey çok fazla eğitim ya da bilinçlendirme değil, çünkü her ikisi de zamanla unutulabilir. Uzun vadede kullanıcı davranışlarını değiştirmekle ilgilidir.
O sadece gerçekleşebilir Programları sürekli olarak çalıştırırsanız, öğrendiklerinizi her zaman akılda tutmak için. Ve kimsenin bu fırsatı kaçırmadığından emin olun; bu, geçici çalışanları, yüklenicileri ve C düzeyindeki yöneticileri de dahil etmek anlamına gelir. Herkes hedef olabilir ve kötü adamların içeri girmesine izin vermek için tek bir hata yeterli olabilir. Ayrıca, mesajların tutunma şansını artırmak için oturumları küçük parçalar halinde çalıştırın. Ve mümkün olduğunda simülasyonu dahil edin veya oyunlaştırma egzersizleri hayata özel bir tehdit getirmek.
Bizim gibi Daha önce de belirtildiğiHatta dersler, bireyle daha alakalı hale getirilmek üzere belirli rollere ve sektörlere göre kişiselleştirilebilir. Ve oyunlaştırma teknikleri, eğitimi daha kalıcı ve ilgi çekici hale getirmek için faydalı bir katkı olabilir.
Şimdi ve 3'te dahil edilecek 2024 alan
2023'ün sonuna yaklaştığımız şu günlerde gelecek yılın programlarına nelerin dahil edileceğini düşünmek faydalı olacaktır. Aşağıdakileri göz önünde bulundur:
1) BEC ve kimlik avı
İşletme E-posta Uyumluluğu Hedefli kimlik avı mesajlarından yararlanan (BEC) dolandırıcılığı, en çok kazandıran siber suç kategorilerinden biri olmaya devam ediyor. Durumlarda FBI'a bildirildi Geçen yıl kurbanlar 2.7 milyar dolardan fazla para kaybetti. Bu, genellikle mağdurun, dolandırıcının kontrolü altındaki bir hesaba kurumsal fon transferini onaylaması için kandırılması yoluyla, temelde sosyal mühendisliğe dayanan bir suçtur.
Bunu başarmak için bir CEO veya tedarikçinin kimliğine bürünmek gibi çeşitli yöntemler vardır ve bunlar düzgün bir şekilde bölümlere ayrılabilir. Kimlik avı farkındalığı egzersizleri. Bunlar, gelişmiş e-posta güvenliğine, sağlam ödeme süreçlerine ve ödeme taleplerinin tekrar kontrol edilmesine yönelik yatırımlarla birleştirilmelidir.
Kimlik avı onlarca yıldır ortalıkta dolaşıyor ancak hâlâ kurumsal ağlara ilk erişimde en önemli vektörlerden biri. Ve dikkati dağılmış ev ve gezici çalışanlar sayesinde, kötü adamların hedeflerine ulaşma şansı daha da artıyor. Ancak çoğu durumda taktikler değişiyor ve kimlik avı farkındalığı egzersizleri de değişmeli. Canlı simülasyonların kullanıcı davranışlarını değiştirmeye gerçekten yardımcı olabileceği yer burasıdır. 2024 için kısa mesaj veya mesajlaşma uygulamaları aracılığıyla kimlik avına ilişkin içerik eklemeyi düşünün (smishing), sesli aramalar (vishing) ve çok faktörlü kimlik doğrulama (MFA) bypass gibi yeni teknikler.
Belirli sosyal mühendislik taktikleri son derece sık değişmektedir; dolayısıyla içeriğini buna göre güncelleyebilecek bir eğitim kursu sağlayıcısıyla ortaklık kurmak iyi bir fikirdir.
2) Uzaktan ve hibrit çalışma güvenliği
Uzmanlar uzun süredir çalışanların güvenlik rehberliğini/politikasını göz ardı etme veya evden çalışırken bunları unutma olasılığının daha yüksek olduğu konusunda uyarıyordu. Bir ders çalışma Çalışanların yüzde 80'inin, örneğin yazın cuma günleri evden çalışmanın kendilerini daha rahat ve dikkatlerinin dağılmasını sağladığını itiraf ettiğini buldu. Bu, özellikle ev ağları ve cihazlarının kurumsal eşdeğerlerine göre daha az korunduğu durumlarda, onları daha yüksek bir riske maruz bırakma riskine sokabilir. Dizüstü bilgisayarlar için güvenlik güncellemeleri, şifre yönetimi ve yalnızca kurumsal onaylı cihazların kullanımına ilişkin tavsiyelerle eğitim programlarının devreye girmesi gereken yer burasıdır. Kimlik avı farkındalığı eğitimiyle birlikte gelmelidir.
Bundan başka, Hibrit çalışma norm haline geldi bugün birçok işletme için. Bir iddiaları incelemek Yüzde 53'ünün artık bir poliçesi var ve rakamın kesinlikle artacağı kesin. Ancak ofise gidip gelmenin veya halka açık bir yerden çalışmanın bazı riskleri vardır. Bunlardan biri, mobil çalışanları, bilgisayar korsanlarının bir ağa eriştiği ve bağlı cihazlar ile yönlendirici arasında dolaşan verileri gizlice dinlediği ortadaki rakip (AitM) saldırılarına ve "kötü ikiz" tehditlerine maruz bırakabilecek halka açık Wi-Fi bağlantı noktalarından gelen tehditlerdir. suçluların belirli bir konumda meşru bir erişim noktası gibi görünen yinelenen bir Wi-Fi erişim noktası kurduğu yer.
Ayrıca daha az "ileri teknoloji" riski de var. Eğitim oturumları personele tehlikeleri hatırlatmak için iyi bir fırsat olabilir. omuz sörfü.
3) Veri koruma
GDPR cezaları artmış Düzenleyicilerin uyumsuzluklara karşı önlem almasıyla yıllık %168 artışla 2.9'de 3.1 milyar Euro'nun (2022 milyar ABD Doları) üzerine çıktı. Bu, kuruluşların personellerinin veri koruma politikalarını doğru bir şekilde takip ettiğinden emin olmaları açısından oldukça güçlü bir durumdur.
Düzenli eğitim, veri işlemenin en iyi uygulamalarını akılda tutmanın en iyi yollarından biridir. Bu, güçlü şifreleme kullanımı, iyi şifre yönetimi, cihazların güvende tutulması ve herhangi bir olayın anında ilgili kişiye bildirilmesi gibi şeyler anlamına gelir.
Personel ayrıca, istenmeyen e-posta veri sızıntılarına yol açan yaygın bir hata olan kör karbon kopyanın (BCC) kullanımı konusunda bir yenilemeden ve diğer teknik eğitimlerden de yararlanabilir. Ve sosyal medyada paylaştıklarının gizli tutulup tutulmayacağını her zaman düşünmelidirler.
Eğitim ve farkındalık kursları herhangi bir güvenlik stratejisinin kritik bir parçasıdır. Ancak izole bir şekilde çalışamazlar. Kuruluşların ayrıca güçlü kontroller ve mobil cihaz yönetimi gibi araçlarla uygulanan su geçirmez güvenlik politikalarına sahip olması gerekir. "İnsanlar, süreç ve teknoloji" daha siber güvenli bir kurum kültürü oluşturmaya yardımcı olacak mantradır.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
