Не имеет значения, насколько непроницаема ваша инфраструктура безопасности, если вы также не предприняли шаги для защиты человеческого фактора. Хакеры это понимают. Вот почему атаки с использованием социальной инженерии остаются наиболее распространенным и наиболее часто успешным вектором на предприятии.

Потому что независимо от того, насколько хорошо защищен конфиденциальный актив, он почти всегда уязвим для внутренней угрозы.

К сожалению, стандартной программы обучения недостаточно для устранения этой угрозы. Вы не можете просто распространять учебные материалы и ожидать, что все присоединятся к вашей стратегии кибербезопасности. Вы должны дать им повод для беспокойства.

Иначе не будут. Ваши пользователи неизбежно каждый раз будут выбирать удобство, а не безопасность, даже если это подвергает риску ваш бизнес.

Чтобы изменить это, вам нужно посвятить себя продвижению культуры кибербезопасности. И первым шагом в этом процессе является повышение киберосведомленности в масштабах всей организации. Покажите своим сотрудникам, почему кибербезопасность важна не только для вашего бизнеса, но и для них .

Как повысить осведомленность сотрудников о кибербезопасности

Вот с чего начать.

Получите исполнительный бай-ин

Как и в случае любой общеорганизационной инициативы, успешная программа повышения осведомленности начинается сверху. Я не сомневаюсь, что ИТ-руководители вашего бизнеса понимают важность обучения и повышения осведомленности. Но одного этого недостаточно.

Чтобы это работало, все должны быть на борту. Весь ваш C-suite должен понимать и поддерживать ваши усилия в области кибербезопасности. Хорошая новость заключается в том, что достижение этой заинтересованности не обязательно должно быть трудным или сложным.

Вам просто нужно объяснить им на их языке, почему важна кибербезопасность. Почему ценить конфиденциальность данных и высокий уровень безопасности — разумное деловое решение. Как небольшое краткосрочное неудобство может привести к огромной долгосрочной прибыли.

Самое главное, что вы работаете с ними и пытаетесь ответить на любые вопросы, которые у них могут возникнуть. Чем больше знаний вы им предложите, тем лучше.

Сделайте кибербезопасность общей ролью

Ваш следующий шаг — вовлечь всю организацию в свои усилия по повышению осведомленности. Дни, когда кибербезопасность была исключительно прерогативой ИТ-отдела, давно позади. Все, от отдела кадров до юристов, от финансов до маркетинга, могут сыграть свою роль в повышении осведомленности о киберпространстве.

Более того, у каждого отдела есть определенные потребности, которые необходимо удовлетворять, и потребности, которые часто неосознанно попираются ИТ-специалистами. Заручившись поддержкой департамента в области киберосведомленности, вы сможете работать с ними, чтобы настроить и переработать вашу систему безопасности так, чтобы это было удобно для них, что повысит вероятность того, что люди будут следовать передовым методам. Что еще более важно, вы можете обеспечить, чтобы ваши усилия по повышению осведомленности достигли большего числа людей, и чтобы они делали это так, чтобы они находили отклик.

Поймите угрозы, с которыми сталкивается ваш бизнес

Я буду прямолинеен. Программа повышения осведомленности обречена на провал, если вы сами не знаете об экосистеме кибербезопасности вашего бизнеса. Вам нужно понимать не только то, какие активы вы пытаетесь защитить, но и те угрозы, от которых вам нужно защитить эти активы.

Хотя ландшафт угроз каждой организации немного отличается, есть общие черты. Большинству предприятий придется столкнуться с атаками социальной инженерии, такими как адресные фишинговые электронные письма, вредоносные ссылки в социальных сетях и более традиционные фишинговые атаки. Точно так же программы-вымогатели и вредоносные программы чрезвычайно распространены независимо от отрасли и вертикали.

Помимо этих угроз, вам нужно хорошенько подумать о других слабостях, которыми может воспользоваться преступник.

• Может ли ваш бизнес подвергнуться атаке на цепочку поставок?
• Вы особенно уязвимы для веб-спама?
• Насколько тщательно вы отслеживаете свою сеть и насколько хорошо организованы ваши конфиденциальные активы?

Эти знания являются основой ваших усилий по повышению осведомленности — в конце концов, вы не сможете по-настоящему обучить своих сотрудников, если сами не все полностью понимаете.

Тренер осознанности

Быстрый вопрос. Что вызывает подавляющее большинство утечек данных? Это не черные шляпы, не передовые вредоносные программы или программы-вымогатели.

Это невнимательность. Кто-то случайно нажимает на фишинговое письмо, попадается на аферу с социальной инженерией или загружает то, что не должен. В то время как злонамеренные инсайдеры, безусловно, представляют угрозу для вашего бизнеса, ошибки, допущенные сотрудниками, действующими из лучших побуждений, представляют собой самый большой риск, с которым вы когда-либо столкнетесь.

Вооружившись знаниями об уникальном профиле рисков и ландшафте угроз вашей организации, вы можете приступить к обучению сотрудников тому, как избежать угроз, с которыми они могут столкнуться, используя надлежащие методы цифровой гигиены.

Я бы посоветовал совмещать тренировочные усилия с тренировкой осознанности. Научите их быть более сознательными, осторожными, осознанными и присутствующими. Это не только поможет им лучше избегать цифровых угроз, но также может помочь им как в личной, так и в профессиональной жизни.

Предлагайте поощрения

В ходе обучения по повышению осведомленности следует подчеркнуть важность роли каждого в том, что касается кибербезопасности. Что каждый может и должен взять на себя ответственность за защиту своих данных — как профессиональных, так и личных. Однако чувство гордости, которое порождает такая собственность, не заведет вас до сих пор.

Чтобы преодолеть разрыв, вы, вероятно, также захотите предложить какие-то стимулы для людей. Вознаграждайте людей за успешное завершение учебных модулей. Превратите кибербезопасность в своего рода игру с достижениями и списками лидеров.

Короче говоря, сделайте его интересным и полезным.

Помните, что киберосведомленность — это путешествие

И последнее, но не менее важное: важно помнить, что, как и сама кибербезопасность, киберосведомленность — это не проект, который можно просто пометить как «завершенный» и забыть о нем.

Точно так же, как уровень безопасности вашей организации постоянно меняется и развивается, ваши усилия по повышению осведомленности тоже должны меняться. В тот момент, когда вы отступаете и думаете, что ваша работа сделана, ваша программа осознания действительно проваливается.

Почаще возвращайтесь к нему в поисках улучшений. Ищите белые пятна, узкие места и слабые места в ваших процессах и политиках. Ищите изменения на рынке, которые требуют нового подхода.

Потому что, в конце концов, киберосведомленность нужна вам не меньше, чем всем остальным.

Мэтью Дэвис пишет для Future Hosting, ведущего поставщика хостинга VPS. Он специализируется на новостях в области данных, кибербезопасности и веб-разработке. Обычно вы можете найти его прячущимся за экраном компьютера в поисках следующих последних новостей в технологической отрасли.