- label Phishing
- remove_red_eye 613 zobrazení
Nenechte se oklamat...
Podniky více než kdy jindy investují do posilování své odolnosti proti vyvíjejícím se kybernetickým hrozbám, ale velký problém stále trápí malé a střední podniky v každém odvětví - narušení dat souvisejících s uživateli.
I když více podniků zavádí školení povědomí o bezpečnosti, pokročilé technické zabezpečení a dodržuje přísnější standardy dodržování předpisů, jsou narušení dat mnohem rozšířenější než kdy dříve. Ale proč je to tak? Mnoho podniků, s nimiž jsme se setkali, příliš spoléhají na technické prvky zabezpečení - jako brány firewall a ochrana koncových bodů.
Technické zabezpečení ale není absolutní a když selže technologie, stane se lidský prvek vaší první obrannou linií.
Je pravdou, že více podniků zavádí školicí programy pro zvyšování povědomí o bezpečnosti, aby se zabývaly svým lidským prvkem zabezpečení, ale nepravidelné a obecné školení se špatně pamatuje a může být obtížně měřitelné. Jaké je tedy řešení?
V tomto článku se podíváme na to, jak mohou podniky skutečně omezit bezpečnostní incidenty související s uživateli a řídit bezpečné chování zaměstnanců prostřednictvím automatizované platformy Human Risk Management (HRM) od usecure.
Čím se budeme zabývat:
- Co je Human Risk Management ?
- Jak usecure zjednodušuje HRM?
- Jaké jsou klíčové vlastnosti?
- Proč dnešní podniky potřebují řídit kybernetické riziko zaměstnanců?
- Proč nestačí školení o povědomí o bezpečnosti?
- Jak začít
Co je řízení lidských rizik (HRM)?
Takto usecure definuje HRM:
Human Risk Management je nová třída zabezpečení zaměřeného na uživatele, která podnikům umožňuje pochopit, snížit a monitorovat jejich kybernetické riziko - aniž by bylo nutné obětovat produktivitu za ochranu.
Zatímco podniky obvykle nasazují vzdělávací programy pro zvyšování povědomí o bezpečnosti, aby snížily riziko zaměstnanců, HRM nabízí komplexní řešení pro transformaci lidí na nejsilnější obranu firmy před vyvíjejícími se hrozbami.
Jak usecure zjednodušuje HRM
Může se to zdát trochu skličující, když přemýšlíme o spuštění, správě a měření řešení pro řízení rizik. Proto platforma Human Risk Management platformy usecure využívá automatizovaný a zjednodušený přístup, díky kterému je nasazení a správa super snadné. Funguje to takto:
Klíčové vlastnosti efektivního programu HRM
Aby bylo zajištěno, že kybernetické riziko zaměstnanců je neustále řešeno, automatizuje platforma HRM společnosti usecure následující funkce:
- Výcvik v oblasti kybernetické informovanosti - Pro každého uživatele jsou vytvořena přizpůsobená videa a interaktivní tréninkové programy, přičemž každý měsíc jsou automaticky zasílány krátké kurzy a následné kvízy.
- Simulovaný phishing - Pravidelně se nasazují pravidelné phishingové simulace, které hodnotí zranitelnost uživatelů vůči řadě útočných technik. Vlastní phishingové kampaně lze vytvořit během několika minut.
- Monitorování Dark webu - Nepřetržité monitorování Dark webu detekuje, kdy se citlivá firemní data (např. Uživatelská jména a hesla) objevila v narušení dat, která by mohla být použita pro cílené útoky.
- Správa zásad - zásady jsou centralizovány na jednom snadno přístupném místě a zaměstnanci jsou automaticky informováni o všech aktualizovaných zásadách, které vyžadují jejich podpis, přičemž je sledováno, které zásady zaměstnanci potvrdili, že přečetli.
- Monitorování rizik zaměstnanců - Rizika zaměstnanců jsou průběžně sledována pomocí hlášení bohatých na přehledy a hodnocení rizik zaměstnanců. Veškeré informace o výsledcích školení a phishingových simulací naleznete na svém dashboardu.
Proč dnešní podniky potřebují řídit své lidské kybernetické riziko?
Zaměstnanci hrají obrovskou roli při udržování bezpečnosti systémů a citlivých údajů, které mohou ve špatných rukou způsobit značné finanční a provozní poškození, nebo poškození pověsti společnosti.
Špatnou zprávou je, že zaměstnanci dělají chyby, přičemž společnost Verizon uvádí, že 85% porušení údajů zahrnuje lidský prvek. Jaké jsou tedy „lidské problémy“ kybernetické bezpečnosti?
Lidská chyba je velký problém
Ať už jde o překlepy nebo zapomenutí hesla, chyby v práci se stávají každý den. Bohužel, údajně malé chyby, jako je stažení přílohy od neznámého odesílatele nebo nesprávné přesměrování e-mailu během pátečního odpoledne, mohou způsobit víc než jen rudý obličej - podle IBM, že lidská chyba je hlavní příčinou 95% všech úniků dat.
Ať už jde o nedostatek povědomí nebo jen o krátkodobou chybu úsudku, pro podniky je zásadní vyškolit své uživatele, aby snížili počet nákladných chyb.
uLearn, automatizovaná školící platforma pro zvyšování povědomí o zabezpečení, analyzuje jedinečná zranitelná místa zabezpečení každého uživatele prostřednictvím rychlého dotazníku a poté tyto oblasti posiluje prostřednictvím personalizovaných tréninkových programů, přičemž prioritní kurzy jsou automaticky nasazovány každý měsíc.
Zaměstnanci porušují pravidla
Někdy lze porušování pravidel provádět se zlým úmyslem, jako například nespokojený bývalý zaměstnanec, který krade hory dat a prodává je podvodníkům nebo komukoli jinému, kdo je ochoten je koupit. Podle zprávy Insider Theft Report společnosti IBM stály útoky zevnitř (včetně krádeží dat zaměstnanců) společnosti 11,45 milionů USD a od roku 2016 se incidenty ztrojnásobily.
Jindy se zaměstnanci možná pokoušejí usnadnit si život opakovaným používáním stejného hesla pro více účtů.Omezená kontrola přístupu je jednou z možností, jak toto omezit, ale je stejně důležité zajistit, aby se zaměstnanci dobře orientovali v bezpečnostních zásadách organizace - jako jsou zabezpečená hesla, zpracování dat a vzdálená práce.
uPolicy společnosti usecure zjednodušuje správu zásad centralizací dokumentů na jednom snadno vyhledatelném místě, automatickým upozorňováním zaměstnanců na aktualizace zásad a sledováním schválení eSign, aby bylo zajištěno, že zaměstnanci znají své odpovědnosti.
Váš lidský firewall lze zneužít
Kybernetičtí zločinci často považují lidi za jednodušší a nejrychlejší způsob, jak získat přístup k systémům a datům společnosti. To je důvod, proč je tolik dnešních kybernetických útoků zaměřeno na manipulaci se zaměstnanci, často u zločinců, kteří se pomocí phishingu vydávají za zákazníky, kolegy a dodavatele. Složitá část spočívá v tom, že zaměstnanec potřebuje pouze jednu chybu, aby způsobil množství následků - phishingové podvody stojí americké podniky odhadem přes 54 milionů dolarů. Útoků, jako je Business Email Compromise (BEC) a cílené phishingy, se budou jen a jen navyšovat. Google v poslední době uvádí, že phishingových webů je nyní 75 krát více než škodlivého softwaru na internetu.
Díky uPhish, automatizovanému nástroji pro simulaci phishingu, jsou zaměstnanci pravidelně hodnoceni z hlediska jejich schopnosti odhalit celou řadu sofistikovaných útoků, které využívají kybernetičtí zločinci v reálném světě, s okamžitým následným školením, které pomáhá vzdělávat zranitelné uživatele.
Samotné školení o povědomí o bezpečnosti nezmění vaši zbrojnici. HRM ano.
Je snadné si myslet, že zavedení některých kurzů povědomí o zabezpečení a občasné zaslání několika e-mailových bulletinů může vyřešit všechny výše uvedené problémy. Jak však mnoho podniků zjišťuje, samotné školení o povědomí o bezpečnosti nestačí ke skutečnému zvýšení odolnosti uživatelů a zajištění bezpečného lidského chování.
Školení o povědomí o bezpečnosti je klíčovou součástí řízení lidských rizik, ale samo o sobě neřeší dostatečná rizika zaměřená na uživatele - například výskyt dat na Dark webu, phishingové útoky a dodržování zásad. Navíc tradiční trénink nebyl nikdy dostatečný...
Proč tradiční trénink povědomí o bezpečnosti sám o sobě nestačí
Zde uvádíme několik běžných důvodů, proč je tradiční školení o povědomí o bezpečnosti při řešení lidského rizika neefektivní:
- Přílišné zaměření na zaškrtnutí políček - Tradiční školení uživatelů bylo silně zaměřeno na nalezení obsahu školení, provedení školení a (možná) testování toho, co se uživatelé naučili. Tento zjednodušující přístup se více zaměřuje na poskytování školení než na řešení těchto rizik pro člověka.
- Jak to řešení HRM společnosti usecure řeší - Chcete-li řešit rizikové oblasti člověka, musíte si na ně nejdříve posvítit. usecure umožňuje podnikům porozumět jedinečným kybernetickým zranitelnostem svých lidí a poté zahájit automatizované vzdělávací programy, které řeší jejich jednotlivé rizikové oblasti.
- Nepravidelné školení uživatelů - od zaměstnanců lze hodně požadovat při hodinovém workshopu. Od zaměstnanců se očekává, že informacím porozumí, uchovají si je a poté je použijí. Problém je, že všichni zapomínáme na věci a neustále se objevují nové techniky útoku. Pouze školení zaměstnanců jednou za rok nebo za čtvrtletí nestačí.
- Jak to řešení HRM v usecure řeší - mikro školení jsou každý měsíc automaticky doručovány každému uživateli, takže školení je dostatečně časté na to, aby působilo, aniž by vytvářelo více práce nebo bránilo produktivitě.
- Poskytování obecného školení - Někteří zaměstnanci jsou velmi náchylní na phishing, ale při správě svých hesel jsou opravdu opatrní. Někteří zaměstnanci mají slabá hesla, která znovu používají, ale nikdy se nezapomenou odhlásit ze svých zařízení. Důležité je, že každý zaměstnanec má jedinečnou sadu rizikových oblastí. Výukové kurzy typu „odeslat všem“ neřeší mezery ve znalostech jednotlivých uživatelů, což má za následek nepoutavého a neúčinného učení.
- Jak to řešení HRM společnosti usecure řeší - Nejprve se vyhodnotí klíčové mezery ve znalostech každého uživatele během rychlého 10 minutového dotazníku na analýzu mezer a poté se podle jejich odpovědí nasadí průběžný a přizpůsobený vzdělávací program - prioritou budou kurzy pokrývající jejich nejslabší oblasti jako první.
- Neměření dopadu - Toto je velký problém. Když nemůžeme měřit výkon, jak víme, že se věci zlepšují? Po absolvování školení je důležité měřit, co si zaměstnanci skutečně ze školení odnesli.
- Jak to HRM usecure řeší - Před spuštěním vašeho programu HRM usecure vypočítá skóre lidských rizik vaší organizace, aby vám poskytlo měřítko vašeho bezpečnostního postoje zaměstnanců. Poté se spojí více metrik (včetně probíhajícího phishingu, školení a výsledků na temném webu), aby vaše firma získala přehled o tom, jak se v průběhu času mění lidské riziko.
- Netestování kybernetických reflexů vašich uživatelů - Stejně jako sportovci, i lidé mohou vypadat skvěle během tréninku, ale jak se to promítne do skutečné události? Nasazení praktických testů, jako jsou simulace phishingu, je účinným způsobem měření dopadu školení a porozumění riziku útoků v reálném světě.
- Jak to řešení HRM společnosti Usecure řeší - pravidelné phishingové simulace jsou automatizovány, aby pomohly monitorovat zranitelnost každého uživatele vůči řadě vyvíjejících se útočných technik.
- Neřešení problému u zdroje - 61% odcizených dat zahrnuje odcizení přihlašovacích údajů uživatele - jako jsou uživatelská jména a hesla - z nichž mnohé jsou zveřejněna na Dark webu. Tato pověření se poté používají k podpoře sociálního inženýrství a phishingových útoků na uživatele. Programy pro zvyšování povědomí o bezpečnosti často tento problém neřeší, i když je velmi oblíbený pro manipulaci se zaměstnanci a poskytuje munici pro mnoho útoků.
- Jak to řešení HRM společnosti usecure řeší - Průběžné monitorování temného webu zjišťuje, kdy jsou pověření zaměstnanců ohrožena a jsou k dispozici na temném webu, s dalším pohledem na to, která služba vedla k odcizení dat a jaký typ dat byl odcizen.
- Přehlížení důležitosti zásad a směrnic - Někdy zaměstnanci zapomínají na své povinnosti a to, že jsou součástí bezpečnostního systému podniku. To je často způsobeno nedostatečnou a jasnou komunikací, pokud jde o bezpečnostní politiky a procesy. Zaměstnanci musí pochopit, jaké bezpečnostní chování se od nich očekává, proč je to tak důležité a jaké jsou výhody a důsledky nedodržování pravidel.
- Jak to řešení HRM společnosti usecure řeší - správa zásad a komunikace jsou zjednodušeny díky snadno navigovatelné knihovně dokumentů a automatickému sledování schválení eSign, které eliminují čas a potíže s honěním se za podpisy zaměstnanců.
Posviťte si na lidské kybernetické riziko vaší organizace ještě dnes
Školení kybernetické bezpečnosti - získejte 14 denní zkušební verzi zdarma:
- Vyhodnoťte riziko uživatelů pomocí simulace phishingu zdarma
- Detekujte odhalená pověření pomocí skenování Dark webu
- Prozkoumejte knihovnu videí a interaktivních školení
Školení kybernetické bezpečnosti
Autor originálního článku: Jordan Daly
Přeložil: Ondřej Strachota
Související služby:
E-Learningová školení - KYBERNETICKÁ BEZPEČNOST
Cena za uživatele: 199.00 Kč bez DPH
E-Learningová školení - KYBERNETICKÁ BEZPEČNOST
Účast Lektora pro 50 uživatelů : 1 200 Kč bez DPH