Bogdan Pismicenco, Kaspersky Lab Olyan vállalatok, amelyeknek sikerül létrehozniuk a biztonság kultúráját
Kutatásaink és az ipar többi szereplője többször is kimutatták, hogy a legtöbb kiberbiztonsági incidens egy vállalatnál az alkalmazottak cselekedetei miatt következik be - adataink szerint több mint 80%. Akár valaki adathalász e-mailt nyit meg, nem változtatja meg rendszeresen a jelszavát, vagy nem telepít kétes alkalmazásokat a telefonjára, az internetes támadóktól - legtöbbször önkéntelenül - széles körű hálózatot hagynak.
Még aggasztóbb az a tény, hogy az adatszegés nem csak pénzügyi veszteségeket és a vállalat jó hírnevének károsodását jelenti. Konkrét hatással van azokra az alkalmazottakra is, akik leleplezték a vállalat vagy az ügyfelek adatait: tavaly az esetek harmadában voltak olyanok, akik elvesztették az állásukat. Legtöbbjük nem kapcsolódott az informatikai területhez.
Ezért úgy gondoljuk, hogy a vállalat profiljához igazított hatékony biztonsági megoldás mellett nagyon fontos tisztában lenni a számítógépes fenyegetések fontosságával az alkalmazottak körében. Általános szabály, hogy a tudatosságnak állandó erőfeszítésnek kell lennie az alkalmazottak oktatására a vállalat biztonsági politikájáról és a számítógépes fenyegetésekről, valamint azok védelmének módjairól. A szociális mérnöki technikák továbbra is nagyon magas sikerességi rátával rendelkeznek, ezért a vállalatok képviselőinek nagyon oda kell figyelniük rájuk.
A cég nagyságától és sajátosságaitól függően több képzési módszert is alkalmazunk a kiberbiztonság területén: szemtől szemben, oktatóval - a szervezet informatikai csapatai számára és online - más alkalmazottak számára, vagy a két módszer kombinációjával. A trénerek tapasztalataik alapján sok történetre és példára épülnek, ugyanakkor szeretnék tudni, hogy mi a résztvevők nézőpontja: problémákkal szembesültek, hogyan reagáltak, mit akartak tudni. Így az edzések interaktívvá és érdekessé válnak.
A Kaspersky Security Awareness termékcsalád termékei a szükséges támogatást kínálják azoknak a vállalatoknak, amelyek javítani akarják védekezésüket, és szinte nullára csökkentik a kockázatokat az egyik legkiszolgáltatottabb területen, az alkalmazottak körében. A leghatékonyabb módszerek: gamefication, gyakorlati megközelítés és periodikus ismétlés alapján az ismeretek rögzítéséhez a szervezet minden szintjén alkalmazhatók.
Online vállalati alkalmazottak képzési platformjaink úgy vannak kialakítva, hogy ne illeszkedjenek a tipikus unalmas képzésbe, amelyen mindenki ellenőrzi az e-mailjét, és alig várja, hogy befejezze. 25 modul létezik, amelyek lefedik mindazt, amit egy olyan személynek tudnia kell, aki nem dolgozik az informatikai osztályon. Például a modulok információkat tartalmaznak a mobileszközök védelméről, az e-mailről, a jelszóvédelemről, a GDPR-ről vagy a ransomware-védelemről. A teszteket több szakaszban végzik, és az alkalmazottak meglepődhetnek, ha "adathalász" e-mailt kapnak. Ha csapdába esnek, értesítést kapnak arról, hogy ezúttal csak egy teszt volt, de legközelebb ez valós veszélyt jelenthet, amely a vállalat teljes hálózatát érinti.
Az informatikai biztonsági programok sikerének titka a következetesség és az értékelés. Mint diéta vagy sportteljesítmény esetében, semmi sem változik egyik napról a másikra vagy két-három hétig tartó erőfeszítés után: az észrevehető eredmények eléréséhez életmódváltásra van szükség. A vállalatok esetében a kiberbiztonság újragondolására van szükség: lehet, hogy nem évente egyszer kell ezzel foglalkozni és a kívánt eredményeket elérni, de ez folyamatos erőfeszítés. Ami az értékelést illeti, két szempont van: először a munkavállalók tudásának értékelése, majd a kiberbiztonsági program: vannak olyan elemek, amelyek jobban mentek, mint mások, mi működött, mit lehetne javítani? Azok a vállalatok, amelyeknek sikerül kialakítaniuk a kiberbiztonság kultúráját, ahol az alkalmazottak felelősséget éreznek tetteikért, és hosszú távon a tanult gyakorlatok a nyertesek.