Top 3 recomandări pentru o mai bună conștientizare a securității infrastructurii IT de către angajați
Pe măsură ce lucrăm din ce în ce mai mult de la distanță, fie de acasă, fie din coffee shop-ul preferat, liniile de demarcație dintre lumea corporate și cea consumer devin tot mai estompate. Din păcate, în același timp, riscurile de compromitere a securității informatice par să fie tot mai accentuate.
Construirea unei lumi cibernetice mai sigure începe aici. Deci, ce ar trebui să includă managerii IT în programele lor de conștientizare a securității acum, dar și în 2024? Este important să vă asigurați că vă adaptați la amenințările digitale de astăzi și de mâine, nu la riscurile de odinioară.
Factorul uman, veriga slabă în securitatea IT și importanța sesiunilor de training
Potrivit Verizon, trei sferturi (74%) din totalul breșelor de securitate globale înregistrate în ultimul an includ „elementul uman”, tradus de multe ori ca eroare, neglijență sau utilizatori care au căzut victime ale phishing-ului și ingineriei sociale. Programele de instruire și conștientizare în materie de securitate sunt o modalitate esențială de a atenua aceste riscuri, dar nu există o cale rapidă și ușoară către succes. De fapt, ceea ce ar trebui să implementați nu ține doar de training sau de conștientizare, ci mai degrabă de schimbarea comportamentelor utilizatorilor pe termen lung.
Acest lucru se poate întâmpla doar derulând programe de educare în mod continuu, pentru a menține actuale informațiile și învățămintele transmise în sesiunile de instruire. Mai mult, este esențial să vă asigurați că toată lumea participă, de la interni, până la antreprenori și directori de nivel înalt. Oricine poate fi o țintă indirectă a unui atac și este suficientă o singură greșeală minoră pentru un incident major.
De asemenea, organizați și desfășurați training-ul în mai multe module compacte, pentru a avea șanse sporite ca informațiile să fie bine înțelese și reținute. Acolo unde este posibil, includeți exerciții de simulare sau de „gamification” pentru a aduce o anumită amenințare la viață și a face învățarea mai interactivă și distractivă, motivând participanții să se implice mai mult și să experimenteze.
Desigur, lecțiile pot fi chiar personalizate pentru roluri și sectoare specifice, pentru a le face mai relevante pentru fiecare individ.
3 subiecte de analizat în sesiunile de educație pentru securitatea IT, la nivelul lui 2024
1. Business Email Compromise (BEC) și phishing
Frauda de tip Business Email Compromise (BEC), care folosește mesaje de phishing direcționate, rămâne una dintre categoriile de infracțiuni cibernetice care generează cele mai mari venituri pentru infractori. În cazurile raportate la FBI anul trecut, victimele au pierdut peste 2,7 miliarde de dolari. Acest tip de infracțiune este bazat în mod fundamental pe inginerie socială, și este de obicei derulată prin păcălirea victimei spre aprobarea unui transfer de fonduri corporate, într-un cont aflat sub controlul escrocului.
Există diverse metode prin care se realizează acest lucru, cum ar fi uzurparea identității digitale a unui CEO sau a unui furnizor, iar ele pot fi prevenite cu succes prin exerciții de conștientizare a metodelor de phishing. Acestea ar trebui combinate cu soluții software de securitate avansată a e-mailului, cu procese de plată foarte atent procedurate și cu verificarea suplimentară (via telefon de pildă) a oricăror solicitări de plată „urgente” sau inopinante.
Phishing-ul ca atare există de zeci de ani și este încă unul dintre cei mai eficienți vectori pentru infiltrarea frauduloasă în rețelele corporative, iar datorită distragerii inerente a angajaților atunci când lucrează de la distanță, șansele de reușită pentru un astfel de atac devin tot mai mari. Dar, cum tacticile se schimbă, la fel și exercițiile de conștientizare a phishing-ului trebuie adaptate. Aici simulările live pot ajuta cu adevărat la schimbarea comportamentului utilizatorilor. Pentru 2024, luați în considerare instruirea echipelor cu privire la phishing-ul derulat prin mesaje text sau mesagerie (smishing), apeluri vocale (vishing) și alte noi tehnici ce includ chiar și ocolirea autentificării multifactor (MFA).
Tacticile specifice de inginerie socială se schimbă extrem de frecvent, așa că este o idee bună să vă asociați cu un furnizor de cursuri de formare și educație pentru securitatea IT care să își poată actualiza conținutul în consecință.
2. Securitate pentru lucrul la distanță sau în mod hibrid
Experții au continuat să avertizeze că angajații sunt mai predispuși să ignore recomandările sau politicile de securitate IT sau pur și simplu să le uite, atunci când lucrează de acasă. Un studiu a constatat că 80% dintre angajații care lucrează de acasă au recunoscut că, în anumite circumstanțe, de exemplu zilele de vineri sau lunile de vară, sunt mai relaxați și distrași. Acest lucru îi poate expune unui risc crescut de compromitere a securității IT, mai ales în contextul în care rețelele și dispozitivele de acasă nu sunt la fel de bine protejate precum echivalentele corporative. Și aici ar trebui să intervină programele de instruire cu sfaturi privind conștientizarea riscului de phishing și ransomware, actualizările de securitate pentru laptopuri, gestionarea parolelor și utilizarea pentru lucru doar a dispozitivelor aprobate de managerii IT.
Mai mult, lucrul hibrid a devenit norma pentru multe companii astăzi – potrivit unui studiu, 53% din ele au acum implementată o astfel de politică, iar cifra este în creștere. Cu toate acestea, naveta la birou sau lucrul dintr-o locație publică comportă o serie de riscuri. Unul dintre ele îl reprezintă amenințările legate de hotspot-uri Wi-Fi publice care ar putea expune angajații la atacuri de tip AitM (Adversary-in-the-Middle), în care hackerii accesează o rețea și compromit datele care circulă între dispozitivele conectate și router, și la amenințări de tip „evil twin”, unde atacatorii pot duplica un hotspot Wi-Fi cu unul malițios, care apare drept unul legitim într-o anumită locație.
3. Protecția datelor
Amenzile GDPR au crescut cu 168% anual, la peste 2,9 miliarde de euro (3,1 miliarde de dolari) în 2022, ca rezultat al combaterii susținute a neconformității de către autoritățile de reglementare. Acest lucru reprezintă un argument puternic pentru organizații să se asigure că personalul lor respectă politicile de protecție a datelor.
Instruirea cu regularitate este una dintre cele mai bune modalități de a păstra în minte cele mai bune practici de manipulare a datelor. Aceasta presupune utilizarea unei criptări puternice a datelor sensibile de pe laptopuri, o bună gestionare a parolelor, păstrarea dispozitivelor în siguranță și raportarea imediată a oricăror incidente persoanei de contact relevante.
De asemenea, personalul poate beneficia de exemplu de o actualizare a greșelilor asociate cu activitatea derulată pe platformele de email standard, greșeli ce pot duce la scurgeri neintenționate de date prin poșta electronică. Un alt aspect de luat în seamă este atragerea atenției angajaților asupra confidențialității postărilor pe rețelele sociale.
Deși cursurile de formare și conștientizare sunt o parte critică a oricărei strategii de securitate, acestea nu aduc rezultate dacă lucrează izolat. Complementar, organizațiile trebuie să implementeze soluții de securitate software și politici de securitate bine puse la punct, bazate pe controale și instrumente puternice precum managementul dispozitivelor mobile, criptarea datelor, protecția serverului de mail sau chiar automatizarea descoperirii și tratării vulnerabilităților din aplicații și sisteme de operare. “Oameni, procese și tehnologie” este mantra care va ajuta la construirea unei culturi cibernetice corporative mai sigure.
ESET, unul din liderii globali pe piața de soluții de securitate cibernetică, cu un istoric de peste 30 de ani de experiență și inovație, include în gama sa soluții antivirus și anti-malware, ce se potrivesc nevoilor companiilor și organizațiilor, indiferent de dimensiune.
Pachetele sale de soluții anti-malware, oferă nivele complementare de protecție multi-stratificată integrată și au capacitatea de a depista atacurile timpurii, neclasificate încă, inclusiv pe cele de tip ransomware, pentru a se evita daunele financiare și reputație ale organizațiilor.
ESET PROTECT Complete reprezintă o astfel de soluție complexă destinată companiilor, pe care acestea o pot testa oricând gratuit. Pe lângă protecția anti-malware completă, ea adaugă un nivel suplimentar de protecție e-mailului cloud Microsoft 365 și datelor stocate. Protejează continuu computerele, laptopurile și smartphone-urile companiei prin intermediul unei console performante de management, ce poate fi implementată on-prem sau cloud. Soluția include tehnologia LiveGuard Advanced de analiză cloud sandbox, protejând împotriva amenințărilor noi și nedepistate până acum. În plus include funcții de management al patch-urilor și vulnerabilităților aplicațiilor, pentru a reduce suprafața de atac asupra infrastructurii business, precum și posibilitatea de criptare completă a unităților de stocare, pentru o protecție sporită a datelor de pe laptopuri.
Soluția poate fi testată gratuit de către companii, indiferent de dimensiune, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici.
Articol susținut de ESET