An ninh kinh doanh
Kiến thức là vũ khí mạnh mẽ có thể trao quyền cho nhân viên của bạn trở thành tuyến phòng thủ đầu tiên chống lại các mối đe dọa
Tháng Mười 19 2023 • , 5 phút đọc
Tháng XNUMX này lại là Tháng Nhận thức về An ninh mạng (CSAM). Đây là một sáng kiến nâng cao nhận thức mở rộng ra cả thế giới người tiêu dùng và doanh nghiệp, mặc dù có rất nhiều sự giao thoa: xét cho cùng thì mỗi nhân viên cũng là người tiêu dùng. Trên thực tế, khi chúng ta làm việc ở nhà hoặc không gian làm việc từ xa yêu thích ngày càng nhiều, các đường nét chưa bao giờ mờ đến thế. Thật không may, đồng thời, rủi ro của sự thỏa hiệp chưa bao giờ nghiêm trọng đến thế.
Việc xây dựng một thế giới an toàn hơn trên mạng bắt đầu từ đây. Vậy các ông chủ CNTT nên kết hợp những gì vào chương trình nâng cao nhận thức về bảo mật của họ bây giờ và trong năm 2024? Điều quan trọng là đảm bảo bạn đang giải quyết vấn đề các mối đe dọa mạng của hôm nay và ngày mai, không phải những rủi ro của năm qua.
Tại sao đào tạo lại quan trọng
Theo Verizon, ba phần tư (74%) tất cả các vi phạm toàn cầu trong năm qua bao gồm “yếu tố con người”, trong nhiều trường hợp có nghĩa là lỗi, sơ suất hoặc người dùng trở thành nạn nhân của lừa đảo và kỹ thuật xã hội. Các chương trình đào tạo và nâng cao nhận thức về an ninh là một cách quan trọng để giảm thiểu những rủi ro này. Nhưng không có con đường nào dẫn đến thành công nhanh chóng và dễ dàng. Trên thực tế, điều bạn nên tìm kiếm không phải là đào tạo hay nâng cao nhận thức quá nhiều, vì cả hai đều có thể bị lãng quên theo thời gian. Đó là về việc thay đổi hành vi của người dùng trong thời gian dài.
Đó chỉ có thể xảy ra nếu bạn chạy các chương trình liên tục, thì việc học tập luôn được quan tâm hàng đầu. Và đảm bảo không ai bỏ lỡ—có nghĩa là bao gồm nhân viên tạm thời, nhà thầu và giám đốc điều hành cấp C. Bất kỳ ai cũng có thể trở thành mục tiêu và chỉ cần một sai lầm cũng có thể để kẻ xấu xâm nhập. Ngoài ra, hãy chạy các phiên theo từng phần nhỏ để có cơ hội tốt hơn để tin nhắn được gắn vào. Và nếu có thể, hãy bao gồm mô phỏng hoặc bài tập chơi game để mang lại một mối đe dọa cụ thể cho cuộc sống.
Như chúng ta đã đề cập trước đó, các bài học thậm chí có thể được cá nhân hóa cho phù hợp với vai trò và lĩnh vực cụ thể để làm cho chúng phù hợp hơn với từng cá nhân. Và các kỹ thuật gamification có thể là một sự bổ sung hữu ích để làm cho việc đào tạo trở nên hấp dẫn và hấp dẫn hơn.
3 lĩnh vực cần đưa vào hiện nay và trong năm 2024
Khi chúng ta sắp kết thúc năm 2023, chúng ta nên suy nghĩ về những gì cần đưa vào các chương trình của năm tới. Hãy xem xét những điều sau:
1) BEC và lừa đảo
Thỏa hiệp email doanh nghiệp (BEC), sử dụng các tin nhắn lừa đảo có chủ đích, vẫn là một trong những loại tội phạm mạng có thu nhập cao nhất hiện nay. Trong trường hợp đã báo cáo với FBI năm ngoái, nạn nhân đã mất hơn 2.7 tỷ USD. Đây là một tội phạm về cơ bản dựa trên kỹ thuật lừa đảo, thường bằng cách lừa nạn nhân chấp thuận việc chuyển tiền của công ty sang một tài khoản dưới sự kiểm soát của kẻ lừa đảo.
Có nhiều phương pháp khác nhau để họ đạt được điều này, chẳng hạn như bằng cách mạo danh CEO hoặc nhà cung cấp, và những phương pháp này có thể được sắp xếp gọn gàng vào bài tập nhận biết lừa đảo. Những điều này nên được kết hợp với việc đầu tư vào bảo mật email nâng cao, quy trình thanh toán mạnh mẽ và kiểm tra kỹ mọi yêu cầu thanh toán.
Lừa đảo như vậy đã tồn tại trong nhiều thập kỷ nhưng vẫn là một trong những phương tiện hàng đầu để truy cập ban đầu vào mạng công ty. Và nhờ những người làm việc tại nhà và di động bị phân tâm, kẻ xấu thậm chí còn có cơ hội tốt hơn để đạt được mục tiêu của mình. Nhưng trong nhiều trường hợp, các chiến thuật đang thay đổi và các bài tập nhận thức về lừa đảo cũng thay đổi. Đây là lúc mô phỏng trực tiếp thực sự có thể giúp thay đổi hành vi của người dùng. Trong năm 2024, hãy cân nhắc đưa nội dung lừa đảo qua ứng dụng nhắn tin hoặc văn bản (smishing), các cuộc gọi thoại (lừa đảo) và các kỹ thuật mới như bỏ qua xác thực đa yếu tố (MFA).
Các chiến thuật kỹ nghệ xã hội cụ thể thay đổi cực kỳ thường xuyên, do đó, nên hợp tác với nhà cung cấp khóa đào tạo có thể cập nhật nội dung tương ứng.
2) Bảo mật làm việc từ xa và kết hợp
Các chuyên gia từ lâu đã cảnh báo rằng nhân viên có nhiều khả năng bỏ qua hướng dẫn/chính sách bảo mật hoặc đơn giản là quên nó khi làm việc tại nhà. Một nghiên cứu chẳng hạn, nhận thấy rằng 80% công nhân thừa nhận rằng làm việc tại nhà vào thứ Sáu trong mùa hè khiến họ thoải mái và mất tập trung hơn. Điều này có thể khiến họ có nguy cơ bị xâm phạm cao hơn, đặc biệt khi mạng gia đình và thiết bị có thể được bảo vệ kém hơn so với các thiết bị tương đương của công ty. Và đây là lúc các chương trình đào tạo nên đưa ra lời khuyên về các bản cập nhật bảo mật cho máy tính xách tay, quản lý mật khẩu và chỉ sử dụng các thiết bị được công ty phê duyệt. Nó nên đi kèm với việc đào tạo nhận thức về lừa đảo.
Hơn nữa, làm việc kết hợp đã trở thành tiêu chuẩn cho nhiều doanh nghiệp hiện nay. Một tuyên bố nghiên cứu 53% hiện có hợp đồng bảo hiểm và con số này chắc chắn sẽ tăng lên. Tuy nhiên, việc đi lại đến văn phòng hoặc làm việc ở địa điểm công cộng đều tiềm ẩn những rủi ro. Một là các mối đe dọa từ các điểm truy cập Wi-Fi công cộng có thể khiến nhân viên di động gặp phải các cuộc tấn công của kẻ thù trung gian (AitM), trong đó tin tặc truy cập mạng và nghe trộm dữ liệu truyền giữa các thiết bị được kết nối và bộ định tuyến, cũng như các mối đe dọa “cặp song sinh độc ác”. nơi bọn tội phạm thiết lập một điểm phát sóng Wi-Fi trùng lặp giả mạo là điểm phát sóng hợp pháp ở một địa điểm cụ thể.
Ngoài ra còn có ít rủi ro “công nghệ cao” hơn. Các buổi đào tạo có thể là cơ hội tốt để nhắc nhở nhân viên về sự nguy hiểm của lướt vai.
3) Bảo vệ dữ liệu
tiền phạt GDPR tăng 168% hàng năm lên tới hơn 2.9 tỷ euro (3.1 tỷ USD) vào năm 2022, khi các cơ quan quản lý xử lý các trường hợp không tuân thủ. Điều đó tạo cơ sở vững chắc cho các tổ chức đảm bảo nhân viên của họ tuân thủ chính sách bảo vệ dữ liệu một cách chính xác.
Đào tạo thường xuyên là một trong những cách tốt nhất để luôn ghi nhớ phương pháp xử lý dữ liệu tốt nhất. Điều đó có nghĩa là những việc như sử dụng mã hóa mạnh, quản lý mật khẩu tốt, giữ an toàn cho thiết bị và báo cáo mọi sự cố ngay lập tức cho người liên hệ có liên quan.
Nhân viên cũng có thể được hưởng lợi từ việc làm mới cách sử dụng bản sao ẩn (BCC), một lỗi phổ biến dẫn đến rò rỉ dữ liệu email ngoài ý muốn và đào tạo kỹ thuật khác. Và họ phải luôn cân nhắc xem liệu những gì họ đăng trên mạng xã hội có nên được giữ bí mật hay không.
Các khóa đào tạo và nhận thức là một phần quan trọng của bất kỳ chiến lược bảo mật nào. Nhưng họ không thể làm việc một cách cô lập. Các tổ chức cũng phải có chính sách bảo mật chặt chẽ được thực thi bằng các công cụ và biện pháp kiểm soát mạnh mẽ như quản lý thiết bị di động. “Con người, quy trình và công nghệ” là câu thần chú sẽ giúp xây dựng văn hóa doanh nghiệp an toàn mạng hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
