Волно или без да подозират, служителите в компаниите могат да станат източник на пробив
(снимка: CC0 Public Domain)
Този октомври изглежда съвсем различно от предишните години. ИТ отделите имат грижата за работата на персонал, който вече може и да не е разположен в едно и също пространство. А това създава по-голяма открита повърхност за злонамерени атаки. Информираността е ключова, казват експертите. Бизнеси от всички сфери трябва да обучат служителите си така, че да ги направят „първа линия” на киберотбраната.
Поддържането на добра киберхигиена винаги е от съществено значение за ИТ отдела, но също толкова важно е ИТ звеното да напомня на служителите на компанията за заплахите от киберпробиви. Октомври е определен за „месец на осведомеността за киберсигурността”. Но сега той е по-специален – сега, когато много хора работят отдалечено, разпръснати на всевъзможни места, по домовете и вилите си, вместо да бъдат на бюро в сграда на компанията. Най-големият кибер-риск сега са служителите. Волно или съвсем без да подозират, те могат да станат източник на пробив.
Експертите по виртуална защита предупреждават, че сега е моментът предприятията да наблегнат на обучението. То не само намалява рисковете за организацията, но и „дава възможност служителите да станат първа линия на защитата на организацията”.
„Трябва да се съсредоточим върху това, което определя информираността”, казва Дан Калахан, директор по киберобучение в Capgemini North American, цитиран от Tech Republic. „Как действията на служителите могат да повлияят на благосъстоянието на компанията или на колегите? Мениджърите трябва постоянно да комуникират и да обучават екипите си за кибер-рисковете в предприятието”.
„Моделът „Работа от вкъщи” създава предизвикателства, тъй като служителите, които са били наясно със съображенията за киберсигурност, работейки в офиса, сега може да се окажат малко по-разсеяни и недотам стриктни, бидейки у дома”, казва Калахан. „Колкото повече служители работят от дома, толкова по-голяма е „повърхността” за атака, което предоставя повече възможности на злонамерените играчи”.
Калахан и колегите му очертават шест насоки за постигане на добра киберсигурност чрез обучение на служителите:
Използване на „Месеца на киберсигурността за общуване със служителите по темите на киберсигурността: „Наистина е важно да се създаде положително, оптимистично отношение у служителите. Използвайте реални истории и случки, за да помогнете на хората да разберат как киберсигурността касае техния собствени живот, да популяризирате добри практики, които дават възможност на хората да поемат контрола над своя дигитален живот. Използвайте хумор, за да зарадвате хората и да поднесете посланията си лесно и приятно. Защо? Защото развеселените хора са по-склонни да слушат какво имате да кажете! Използвайте тези тактики целогодишно и привлечете повече хора към ролята на киберсигурността в живота$, казва Том Пендъргаст, главен директор по обучение в MediaPro.
Отваряне на комуникацията между ИТ и служителите: „Нашите предходни проучвания показват, че по-голямата част (75%) от служителите обикновено или почти винаги следват съветите на своя ИТ отдел. ИТ екипите просто трябва да се уверят, че предоставят нужните напътствия редовно$, каза Андрю Хоумър, вицепрезидент по стратегията за сигурност в Morphisec.
Инвестиране в хората, освен в продукти: Компаниите трябва да положат усилия за „гъвкавост и постоянно самоусъвършенстване$, казва Саманта Изабел Бомонт, старши консултант по сигурността в Synopsys. Това означава да се инвестира в подготовката на хората, а не само да се купуват дадени решения.
Минимизиране на риска и превръщане на обучението в забавление: „Сесиите за обучение трябва да бъдат забавни и да имат образователно и хумористично съдържание. Персонализирайте обучението и включете специфичен хумор. Обучението трябва да бъде смилаемо и консумирано „хапка по хапка”, казва Рик Холанд, главен директор по сигурността на информацията, вицепрезидент по стратегията в Digital Shadows. „Ако имате едночасово обучение, разделете го на пет „порции” от по 10 минути, които хората могат да слушат в удобно за тях време. Направете така, че хората да усещат връзката си личния си живот. Използвайте лични примери за сигурността вкъщи и поверителността на данните, обвързани с бизнеса и ежедневието на работното място”.
Персонализиране на обучението за специфични изисквания: „Всеки служител трябва да бъде снабден с необходимите знания и умения за идентифициране и реагиране по подходящ начин на специфични за ролята му заплахи. Способността за проучване на заплахите и управление на инцидентите може да помогне за формиране на кампаниите за осведоменост за възникващи и често срещани заплахи, които всеки в предприятието може да срещне”, казва Даниел Норман, старши анализатор на решения във Форум за информационна сигурност.
Прагматичност и реалистичност на кибер-осведомеността: „Ръководството трябва да възприеме и да отстоява важността на киберсигурността, като директно общува със служителите. Важно е да се показва съпричастност, когато се говорите за модела „работа от вкъщи”, но също така да се създава усещането з важността и спешността на темата – за да бъдат служителите наясно, че техните действия у дома касаят компанията и трябва да постъпват отговорно. Обяснете гледната точка на кибернападателите. Обяснете как служителят може да стане мишена. Обяснете каква информация в профилите в социалните медии може да се окаже ценна за кибернападателите. Изхвърлете сложната терминология и модерните думички. Обяснете на достъпен език как един киберпробив влияе върху бизнеса или мисията на компанията”, казва Калахан.