- label Dodržování norem
- remove_red_eye 312 zobrazení
V roce 2021 je stále důležitější než kdy dříve vzdělávat a školit koncové uživatele o osvědčených postupech v oblasti kybernetické bezpečnosti na pracovišti. Níže uvádíme 12 témat, na která je třeba dávat pozor. Se stále sofistikovanějšími digitálními hrozbami je vzdělávání vašich digitálních pracovníků o osvědčených postupech v oblasti kybernetické bezpečnosti nejúčinnějším způsobem, jak ušetřit čas a zabránit úniku dat.
V roce 2020 bylo navzdory obtížným okolnostem dosaženo hodně. Nejzřejmější byl způsob, jakým se lidé a podniky přizpůsobili řešení vzdáleného pracovního prostředí. S tím přišly obrovské výzvy. Rizika, jako je phishing, malware a bezpečnost ukládání dat, byly pouze zdůrazněny a spojeny s agresivnější taktikou hackerů, než jsme viděli v minulosti, došlo
k nárůstu o X%.
S ohledem na tuto skutečnost jsme obnovili náš seznam 12 témat, na která si v roce 2021 dávejte pozor.
Jaká témata povědomí o bezpečnosti bych měl zahrnout?
Většina společností věnuje implementaci softwaru velké množství času a financí na ochranu svých bezpečnostních informací, přičemž průměrné IT rozpočty na bezpečnost se pohybují kolem 10%. „Lidský hardware“ je však zdaleka nejzranitelnějším prvkem jakéhokoli podnikání a společnosti by měly v tomto ohledu fungovat preventivně.
Lidská chyba je příčinou až 95% odcizení dat a pomocí jednoduchých školení zaměřených na zvyšování povědomí lze tento počet dramaticky snížit. Nedávné odhady naznačují,
že pouze polovina všech zaměstnanců absolvuje školení jen jednou ročně.
Od malých a středních podniků až po velké podniky je zaměstnanec poslední obrannou linií v zabezpečení společnosti, „lidským firewallem“. Jaká jsou tedy nejdůležitější témata školení o povědomí o zabezpečení vašich zaměstnanců?
Jaká jsou nejdůležitější témata školení o povědomí o bezpečnosti?
Uvedli jsme nejdůležitější školení v oblasti povědomí o kybernetické bezpečnosti pro zaměstnance v roce 2021:
Top 12 témat školení o povědomí o kybernetické bezpečnosti: |
|
Vzdělávejte své uživatele o všech těchto tématech pomocí uLearn. Vyzkoušejte zdarma » |
1. Phishingové útoky
V loňském roce jsme zaznamenali obrovský nárůst phishingových útoků. Zejména se jednalo o obrovské množství phishingových e-mailů souvisejících s pandemií. Skupina pro analýzu hrozeb společnosti Google v polovině dubna oznámila, že denně blokovala 18 milionů malwaru a phishingových e-mailů s tématem COVID-19.
Phishingové útoky jsou stále nejčastější příčinou narušení kybernetické bezpečnosti. Aktuální čísla jasně odrážejí potřebu povědomí o phishingových útocích, výzkum naznačuje, že 91% úspěšných kybernetických útoků je výsledkem phishingového podvodu.
Ačkoli si společnosti stále více uvědomují phishing, v roce 2021 se stále jedná o rostoucí hrozbu, částečně kvůli nedostatečné informovanosti na úrovni zaměstnanců. Řízením školení v oblasti bezpečnosti jako součásti filozofie společnosti prostřednictvím opakovaného školení o povědomí o bezpečnosti lze tento počet v průběhu času dramaticky snížit.
„Spearphishing“ je sofistikovanější a cílenější forma útoku využívající konkrétní pracovníky společnosti k legitimizaci e-mailu konkrétní skupině koncových uživatelů. Například na email, jehož odesílatel se vydává za generálního ředitele, pravděpodobně klikne většina zaměstnanců přestože by mohl tento mail obsahovat přílohu škodlivého softwaru. Účinnost takových útoků vedla k novějšímu a sofistikovanějšímu vývoji, jako je phishing po telefonu (vhishing) a phishing pomocí SMS (smishing).
Školením koncových uživatelů v rozpoznávání potenciálně škodlivých e-mailů a hlášení podezřelých e-mailů lze tuto hrozbu dramaticky snížit. Nabídkou školení v oblasti kybernetické bezpečnosti lze povědomí zaměstnanců o takových útocích dramaticky zlepšit pomocí důsledného školení. Simulované phishingové útoky mohou demonstrovat potenciální riziko pro vaši společnost z takových útoků.
2. Vyměnitelná média
Dalším tématem povědomí o bezpečnosti, které společnosti denně používají, je téma vyměnitelných médií. Vyměnitelná média jsou přenosná paměťová média, která umožňují uživatelům kopírovat data do zařízení a poté je ze zařízení odebrat do jiného a naopak. Koncová zařízení USB obsahující malware, mohou být ponechat koncovým uživatelům
k nalezení, aby si je zapojili do svého zařízení a tímto jej infikovali.
„Vědci upustili téměř 300 USB klíčenek na kampusu University of Illinois Urbana-Champaign. 98% těchto disků bylo vyzvednuto! Kromě toho bylo 45% těchto disků nejen vyzvednuto, ale jednotlivci otevřeli soubory, které našli uvnitř“*
Stejně jako pochopení rizik, která vaši zaměstnanci potřebují vědět, jak bezpečně a zodpovědně používat tato zařízení ve vašem podnikání. Existuje mnoho důvodů, proč by se společnost rozhodla použít vyměnitelná média ve svém prostředí. U všech technologií však vždy existují potenciální rizika. Stejně jako samotná zařízení je důležité, aby vaši zaměstnanci chránili data na těchto zařízeních. Ať už osobní nebo firemní, všechna data mají určitou formu hodnoty.
Několik běžných příkladů vyměnitelných médií, které vy a vaši zaměstnanci můžete na pracovišti použít, jsou:
- USB klíčenky
- SD karty
- CDčka
- Chytré telefony
Toto téma povědomí o zabezpečení by mělo být součástí vašeho školení a mělo by zahrnovat příklady vyměnitelných médií, důvody, proč se používají v podnicích, a také to, jak mohou vaši zaměstnanci předcházet rizikům, jako jsou ztracená nebo odcizená vyměnitelná zařízení, infekce malwarem a porušení autorských práv.
3. Hesla a ověřování
Velmi jednoduchým, ale často přehlíženým prvkem, který může pomoci zabezpečení vaší společnosti, je zabezpečení heslem. Často běžně používaná hesla uhodnou útočníci naději, že získají přístup k vašim účtům. Používání jednoduchých hesel nebo rozpoznatelných vzorů hesel pro zaměstnance mohou počítačovým zločincům usnadnit přístup k široké škále účtů. Jakmile jsou tyto informace odcizeny, mohou být zveřejněny nebo prodány za účelem zisku na dark webu.
Implementace náhodných hesel může útočníkům znatelně snížit možnost získat přístup k řadě účtů. Další kroky, například dvoufaktorové ověřování, poskytují další vrstvy zabezpečení, které chrání integritu účtu.
4. Fyzická bezpečnost
Pokud patříte k lidem, kteří nechávají svá hesla na poznámkách na stole, možná je budete chtít vyhodit. Ačkoli je pravděpodobné, že k mnoha útokům dojde prostřednictvím digitálních médií, je pro integritu bezpečnostního systému vaší společnosti zásadní zabezpečení citlivých fyzických dokumentů.
Jednoduché povědomí o rizicích zanechávání dokumentů, počítačů bez dozoru a hesel v kancelářském prostoru nebo doma může snížit bezpečnostní riziko. Implementací zásady „čistého stolu“ lze výrazně snížit hrozbu odcizení nebo kopírování dokumentů.
5. Zabezpečení mobilních zařízení
Měnící se prostředí IT technologií zlepšilo schopnost flexibilních pracovních prostředí a spolu s nimi i sofistikovanější bezpečnostní útoky. Vzhledem k tomu, že mnoho lidí nyní má možnost pracovat na cestách pomocí mobilních zařízení, tato zvýšená konektivita má za následek riziko narušení zabezpečení. Pro menší společnosti to může být efektivní způsob, jak ušetřit rozpočet, odpovědnost uživatelů za zařízení je však stále důležitějším aspektem školení v roce 2021, zejména pro cestující nebo vzdálené pracovníky. Nástup škodlivých mobilních aplikací zvýšil riziko mobilních telefonů obsahujících malware, což by mohlo potenciálně vést k narušení bezpečnosti.
Osvědčené postupy online kurzů pro pracovníky mobilních zařízení mohou pomoci vzdělávat zaměstnance, aby se vyhnuli rizikům, a to bez nákladných bezpečnostních protokolů. Mobilní zařízení by vždy měla mít citlivé informace chráněné heslem, šifrované nebo s biometrickým ověřováním v případě ztráty nebo odcizení zařízení. Bezpečné používání osobních zařízení je nezbytným školením pro všechny zaměstnance, kteří pracují na svých vlastních zařízeních.
Nejlepší praxí v komunitě je zajistit, aby pracovníci museli podepisovat zásady zabezpečení mobilních zařízení.
6. Práce na dálku
Rok 2021 vedl, v kombinaci zjevné potřeby práce na dálku s rostoucím zaváděním, k tomu, že mnoho společností podniklo drastické kroky směrem k politikám na plný úvazek z domova. Vzdálená práce může být pro společnosti pozitivní a může i podpořit vyšší produktivitu a lepší rovnováhu pracovního života. Tento trend však představuje zvýšenou hrozbu pro narušení bezpečnosti, pokud nejsou zaměstnanci poučeni o rizicích vzdálené práce. Osobní zařízení, která se používají pro pracovní účely, by měla zůstat uzamčená, pokud jsou bez dozoru, a měla by mít nainstalován antivirový software. Pokud chce společnost nabídnout tuto možnost vzdálené práce, měla by se zaměřit na vzdělávání vzdálených zaměstnanců v bezpečných pracovních postupech.
Je pravděpodobné, že tento trend bude pokračovat i v roce 2021. I když doufáme, že uvidíme znovuotevření kanceláří a návrat do normálního pracovního života, společnosti stále více zajímají vzdálené pracovníky a ti, kteří se přizpůsobili životnímu stylu WFH (Work From Home), mohou pracovníci preferovat tento styl práce. Je zřejmé, že je třeba školit zaměstnance, aby rozuměli a řídili svou vlastní kybernetickou bezpečnost. Jak jsme viděli, na tyto jednotlivce se zaměřuje rostoucí hrozba. Klíčovým tématem roku 2021 je zajistit, aby zaměstnanci měli na mysli bezpečnost.
7. Veřejné Wi-Fi
Někteří zaměstnanci, kteří potřebují pracovat na dálku, cestují ve vlacích a pracují na cestách, budou potřebovat další školení v porozumění toho, jak bezpečně využívat veřejné služby Wi-Fi. Falešné veřejné sítě Wi-Fi, které se v kavárnách často vydávají za bezplatné Wi-Fi, mohou koncové uživatele vystavit riziku zadávání informací na nezabezpečené veřejné servery.
Vzdělávání uživatelů o bezpečném používání veřejné Wi-Fi a společných známkách k odhalení potenciálního podvodu zvýší povědomí společností a minimalizuje riziko. Časopis WIRED poskytuje užitečného průvodce, jak se vyhnout rizikům veřejné Wi-Fi.
8. Cloudová bezpečnost
Cloud computing způsobil v podnicích revoluci způsobu ukládání a přístupu k datům. Tyto digitální aplikace transformují podniky, avšak s velkým množstvím soukromých dat uložených na dálku přichází riziko rozsáhlých hacků. Mnoho velkých společností pracuje na ochraně dat, ale výběrem správného poskytovatele cloudových služeb může být cloudové úložiště mnohem bezpečnějším a nákladově efektivnějším způsobem ukládání dat vaší společnosti.
Stejně jako u ostatních zmíněných témat je hacking zevnitř organizace mnohem větší hrozbou než je data breach velké cloudové společnosti. Gartner předpovídá, že do příštího roku bude 99% všech bezpečnostních incidentů v cloudu způsobeno chybou koncového uživatele. Školení povědomí o kybernetické bezpečnosti proto může pomoci zaměstnancům v bezpečném používání cloudových aplikací.
9. Použití sociálních médií
Všichni sdílíme velkou část našeho života na sociálních médiích: od svátků po události a práci. Nadměrné sdílení však může vést k tomu, že budou k dispozici citlivé informace, díky čemuž se zločinec bude moci vydávat za důvěryhodný zdroj (viz: sociální inženýrství).
Vzdělávání zaměstnanců o ochraně nastavení soukromí jejich účtů na sociálních médiích a zabránění šíření veřejných informací o vaší společnosti sníží riziko potenciálního materiálu, který hackeři mohou použít k získání přístupu k vaší firemní síti.
10. Používání internetu a e-mailů
Někteří zaměstnanci již mohli být vystaveni narušení dat pomocí jednoduchých nebo opakovaných e-mailů pro více účtů. Jedna studie zjistila, že 59% koncových uživatelů používá ke každému účtu stejné heslo. To znamená, že pokud dojde k prolomení jednoho účtu, může hacker použít toto heslo na účtech z práce a sociálních médií k získání přístupu ke všem informacím uživatele na těchto účtech.
Weby často nabízejí bezplatný software infikovaný malwarem, stahováním aplikací pouze z důvěryhodných zdrojů je nejlepší způsob, jak chránit počítač před instalací škodlivého softwaru. Vzdělávání zaměstnanců o bezpečných internetových návycích by mělo být klíčovou součástí jakýchkoli školení IT, ačkoli někteří mohou vidět toto školení jako zřejmé, je to klíčová součást bezpečnosti jakéhokoli bezpečnostního programu.
Mnoho velkých webů mělo v posledních letech velké narušení dat. Pokud byly vaše informace zadány na tyto weby, mohly být zveřejněny a sdíleny vaše soukromé informace.
11. Sociální inženýrství
Sociální inženýrství je běžná technika, kterou útočníci používají k získání důvěry zaměstnanců, nabízejí cenné návnady nebo díky vydávání se za někoho jiného, získávají přístup k cenným osobním informacím. Zaměstnanci musí být vzděláni v tématech povědomí o bezpečnosti, která pokrývají nejběžnější techniky sociálního inženýrství a psychologii vlivu (například: nedostatek, naléhavost a vzájemný zisk), aby bylo možné těmto hrozbám čelit.
Například tím, že se vydáte za důležitého klienta nebo nabídnutím podnětů, mohou být těmto útočníkům nevědomky předány soukromé informace. Zvyšování povědomí zaměstnanců o hrozbě těchto zosobnění je zásadní pro snížení rizika sociálního inženýrství.
12. Zabezpečení doma
Hrozba škodlivých činitelů se bohužel nezastaví, i když opustíte pracoviště. Mnoho společností umožňuje svým zaměstnancům používat jejich osobní zařízení, což je skvělý způsob úspory nákladů a umožňuje flexibilní práci. S tím však souvisí i rizika. Nevědomým stažením infikované aplikace do osobních zařízení mohou riskovat integritu sítě společnosti, pokud budou například ohroženy přihlašovací údaje.
Rostoucí síť digitálních zdrojů, která je k dispozici pracovníkům a společnostem, navíc zvýšila konektivitu a produktivitu. Tyto aplikace však také představují riziko pro uživatele, studie společnosti Propeller zjistila, že phishingové kampaně cílené na schránku měly míru prokliku 13,6%. Zvyšování znalostí zaměstnanců, sdílení šifrovaných souborů a ověřování stahování sníží toto riziko.
Další školení týkající se bezpečnosti IT
Spolu se vzděláváním zaměstnanců v tématech o povědomí o bezpečnosti, protože jsou ukládány nové předpisy, je pro zaměstnance stále více nezbytný kurz dodržování předpisů. Soulad s GDPR v EU vedl k novým předpisům týkajícím se e-mailu, což může vyžadovat rekvalifikaci mnoha zaměstnanců. Porušení těchto pravidel může vést k vysokým pokutám, zejména k hotelům BA a Marriott.
Zaměstnanci by si měli být také vědomi měnících se finančních předpisů, ochrany údajů, daní a dalších. Přihlášením do automatizovaných online platforem pro správu zásad můžete své zaměstnance informovat o nejnovějších změnách zásad a zajistit, aby o nich věděli.
Správné školení v oblasti povědomí o zabezpečení koncových uživatelů
Všechny společnosti mají různé požadavky, takže zajištění flexibilního kurzu povědomí o kybernetické bezpečnosti, který odpovídá cílům vaší organizace, je zásadní pro získání správného školení vašich zaměstnanců.
Díky pravidelné podpoře kultury konverzace a povědomí ve vašem podniku prostřednictvím školení povědomí o zabezpečení koncových uživatelů můžete svým zaměstnancům poskytovat aktuální informace o požadavcích na zabezpečení jejich osobních a obchodních informací.
Spusťte svůj školící program pro zvyšování povědomí o bezpečnosti
Poskytujte stručná, interaktivní školení, přizpůsobené jedinečným slabinám jednotlivých uživatelů pomocí inteligentní automatizaci.
Školení kybernetické bezpečnosti
Autor originálního článku: Jordan Daly
Přeložil: Ondřej Strachota