Cum dezvoltam o mai buna constientizare a securitatii infrastructurii IT in randul angajatilor? Iata top 3 recomandari in acest sens
antivirusanti-malware
Preferinta tot mai mai mare pentru lucrul de la distanta, fie de confortul propriei case, fie din cafeneaua favorita, a estompat bariera care, pana de curand, separa lumea corporate de cea consumer. Dar, in acelasi timp, aceasta a accentuat tot mai mult riscurile asociate compromiterii securitatii informatice.
Acum este momentul oportun pentru construirea unei lumi digitale mai sigure. Cum pot managerii IT sa se adapteze amenintarilor cibernetice actuale, lasand in urma riscurile de odinioara? Aflati de ce este important sa stabiliti un program de constientizare a securitatii si iata la ce trebuie sa fiti atenti in 2024.
Cine este veriga slaba in securitatea cibernetica si de ce este important trainingul
Conform Verizon, factorul uman a stat la baza a trei sferturi (74%) din totalitatea breselor de securitate inregistrate la nivel global. Angajatii au cazut victime phishing-ului, a ingineriei sociale, dar si erorilor si neglijentei. Modalitatea prin care companiile pot atenua aceste riscuri este prin implementarea unor programe de training si constientizare in ceea ce priveste securitatea IT. Totusi, simpla implementare nu reprezinta o cale sigura spre succes caci ceea ce ar trebui sa poata inspira sesiunile de training este schimbarea comportamentului utilizatorilor pe termen lung.
O metoda care poate asigura reusita este desfasurarea de programe in mod regulat, astfel incat informatiile si sfaturile transmise in timpul sesiunilor de training sa fie actuale si pastrate in memoria participantilor. De asemenea, este important ca intreg colectivul sa participe, de la juniori si pana la directorii de nivel inalt. Oricine poate fi o tinta si este suficienta o singura eroare minora pentru a provoca un incident major.
Mai mult, asigurati-va ca sesiunile destinate trainingului sunt distribuite in module compacte, astfel sunt sanse ridicate ca informatiile transmise sa fie mai usor de asimilat si retinute mai bine. Acolo unde este posibil, puteti include si exercitii de simulare sau de „gamification” pentru a exemplifica in mod real o anumita amenintare si a face invatarea mai interactiva si distractiva, motivand astfel participantii sa se implice mai mult si sa experimenteze diverse scenarii pe cont propriu.
Desigur, lectiile pot fi chiar personalizate pentru roluri si sectoare specifice, pentru a le face mai relevante pentru fiecare individ.
Trei recomandari privind securitatea digitala in 2024
1.
Business Email Compromise (BEC) si phishing
Compromiterea e-mail-urilor de business (Business Email Compromise - BEC), unde infractorii cibernetici trimit mesaje de phishing directionate, ramane una dintre categoriile de infractiuni cu cele mai mari venituri generate pentru acestia. Numai anul trecut, conform raportului FBI, victimele au suferit pierderi de peste 2,7 miliarde de dolari. Acest tip de frauda presupune pacalirea victimei spre aprobarea unui transfer din fondurile companiei intr-un cont aflat sub controlul escrocului si este o infractiune bazata in mod fundamental pe inginerie sociala.
Uzurparea identitatii unui CEO sau a unui furnizor reprezinta una dintre metodele prin care se realizeaza acest lucru, iar ea poate fi prevenita cu succes prin exercitii de constientizare a metodelor de phishing. Mai mult, acestea ar trebui combinate cu investitii in securitate avansata a e-mailului, procese de plata foarte atent stabilite si verificarea suplimentara a oricaror solicitari de plata „urgente”.
Phishing-ul este inca unul dintre cei mai eficienti vectori pentru a initia accesul fraudulos in retelele corporative, fiind folosit cu succes de ani de zile de catre infractori. Datorita distragerii inerente a angajatilor atunci cand lucreaza de la distanta, sansele de reusita pentru un astfel de atac devin tot mai mari. Exercitiile de constientizare a phishing-ului trebuie adaptate la fel de rapid precum tacticile atacatorilor se schimba. In acest sens, simularile live pot ajuta cu adevarat la schimbarea comportamentului utilizatorilor. In 2024, luati in considerare instruirea angajatilor cu privire la phishing-ul desfasurat prin mesaje text sau mesagerie (smishing), apeluri vocale (vishing) si alte noi tehnici ce includ chiar si ocolirea autentificarii multifactor (MFA).
2. Securitate pentru lucrul la distanta sau in mod hibrid
Asa cum expertii in domeniu au avertizat, angajatii sunt mai predispusi sa ignore indrumarile sau politicile de securitate sau pur si simplu sa le uite atunci cand lucreaza de acasa. Un studiu a constatat ca 80% dintre angajatii care lucreaza de acasa au recunoscut ca, in anumite circumstante, de exemplu zilele de vineri sau in lunile de vara, sunt mai relaxati si distrasi. Acest fapt ii poate expune unui risc crescut de compromitere a securitatii IT, mai ales in contextul in care retelele si dispozitivele de acasa nu sunt la fel de bine protejate precum echivalentele corporative. Pentru atenuarea acestui risc,companiile ar trebui dezvolta programe de instruire cu sfaturi privind constientizarea riscului de phishing si ransomware, actualizarile de securitate pentru laptopuri, gestionarea parolelor si utilizarea pentru lucru doar a dispozitivelor aprobate de managerii IT.
Pentru multe companii din ziua de azi, lucrul hibrid a devenit norma - potrivit unui studiu, 53% dintre acestea au acum o astfel de politica, iar cifra este in crestere. In acest context, naveta la birou sau lucrul dintr-o locatie publica ridica o serie de riscuri. Unul dintre ele il reprezinta amenintarile legate de hotspot-uri Wi-Fi publice care ar putea expune angajatii la atacuri de tip AitM (Adversary-in-the-Middle), in care hackerii acceseaza o retea si compromit datele transferate intre dispozitivele conectate si router, dar si la amenintari de tip „evil twin”, unde atacatorii pot duplica un hotspot Wi-Fi malitios care apare drept unul legitim intr-o anumita locatie.
3. Protectia datelor
Ca rezultat al combaterii sustinute a neconformitatii de catre autoritatile de reglementare, amenzile GDPR au crescut cu 168% anual, la peste 2,9 miliarde de euro (3,1 miliarde de dolari) in 2022. Acesta fapt reprezinta un motiv solid si un indemn pentru organizatii de a se asigura ca angajatii lor cunosc si respecta politicile de protectie a datelor.
Instruirea continua este una dintre cele mai bune modalitati de a pastra in minte cele mai bune practici de manipulare a datelor, precum utilizarea unei criptari puternice, o buna gestionare a parolelor, pastrarea dispozitivelor in siguranta si raportarea imediata a oricaror incidente persoanei autorizate din cadrul companiei.
De asemenea, personalul poate beneficia de exemplu de o actualizare a greselilor asociate cu activitatea derulata pe platformele de email standard, greseli ce pot duce la scurgeri neintentionate de date prin posta electronica. Un alt aspect de luat in seama este atragerea atentiei angajatilor asupra confidentialitatii postarilor pe retelele sociale.
Desi cursurile de formare si constientizare sunt o parte critica a oricarei strategii de securitate, acestea nu aduc rezultate daca daca lucreaza izolat. De asemenea, organizatiile trebuie sa aiba solutii si politici de securitate bine puse la punct, bazate pe controale si instrumente puternice precum managementul dispozitivelor mobile, criptarea datelor, protectia serverului de mail sau chiar automatizarea descoperirii si tratarii vulnerabilitatilor din aplicatii si sisteme de operare. „Oameni, procese si tehnologie” este mantra care va ajuta la construirea unei culturi cibernetice corporative mai sigure.
ESET, unul din liderii globali pe piata de solutii de securitate cibernetica, cu un istoric de peste 30 de ani de experienta si inovatie, include in gama sa
solutii antivirus si anti-malware, ce se potrivesc nevoilor companiilor si organizatiilor, indiferent de dimensiune.
Pachetele de solutii anti-malware ESET ofera nivele complementare de protectie multi-stratificata si au capacitatea de a depista cele mai noi atacuri, inclusiv pe cele de tip ransomware, evitand daunele financiare si protejand astfel reputatia organizatiilor.
ESET PROTECT Complete reprezinta una dintre solutiile complexe destinata companiilor, pe care acestea o pot testa oricand gratuit. Complementar protectiei anti-malware totale, aceasta solutie adauga protectie dedicata pentru Microsoft 365 (Exchange, OneDrive, Teams, Sharepoint). Ea asigura in mod continuu securitatea terminalelor companiei (PC, laptop, smartphone) prin intermediul unei console de management eficiente, care poate fi implementata on-premises sau SaaS. Tehnologia LiveGuard Advanced inclusa, de analiza cloud sandboxing, ofera protectie impotriva celor mai noi amenintari, nedetectate pana acum, inclusiv la nivelul casutelor de e-mail.
Nu in ultimul rand, modulul inclus de gestionare a patch-urilor si vulnerabilitatilor aplicatiilor, contribuie semnificativ la reducerea suprafetei de atac asupra infrastructurii de business, iar optiunea de criptare completa a unitatilor de stocare aduce securitate esentiala pentru datele aflate pe laptop-uri.
ESET PROTECT Complete poate fi testata gratuit de catre companii, indiferent de dimensiune, fara obligatii ulterioare.
Pentru descarcarea unei variante de test, click aici.