Богдан Писмиченцо, лаборатории Касперски компании кои успеваат да создадат култура на безбедност
Нашето истражување и на другите во индустријата постојано покажаа дека повеќето инциденти со сајбер безбедност во компанија се предизвикани од дејствија на вработените - над 80%, според нашите податоци. Без разлика дали некој отвора фишинг-е-пошта, не ја менува лозинката периодично или инсталира сомнителни апликации на нивниот телефон, ги остава сајбер напаѓачите - поголемиот дел од времето, несакајќи - широко отворена порта кон мрежата.
Уште позагрижувачки е фактот дека нарушување на податоците не значи само финансиски загуби и нарушување на угледот на компанијата. Исто така, има конкретни ефекти кај вработените кои ги разоткриле податоците на компанијата или клиентите: минатата година, во една третина од случаите имало луѓе кои останале без работа. Повеќето од нив не беа поврзани со областа на ИТ.
Затоа, сметаме дека, покрај ефективното безбедносно решение прилагодено на профилот на компанијата, многу е важно да се биде свесен за важноста на сајбер заканите меѓу вработените. Како општо правило, свеста треба да биде постојан напор за едукација на вработените за безбедносните политики на компанијата и сајбер заканите, заедно со начините за нивна заштита. Техниките за социјален инженеринг продолжуваат да имаат многу висока стапка на успех, па затоа претставниците на компанијата треба да обрнат големо внимание на нив.
Во зависност од големината и спецификите на компанијата, ние користиме неколку методи за обука од областа на сајбер безбедноста: лице в лице, со инструктор - за ИТ-тимовите на организацијата и преку Интернет - за други вработени или комбинација на двата методи. Обучувачите се потпираат на многу приказни и примери од нивното искуство и, во исто време, сакаат да знаат каква е перспективата на учесниците: тие се соочија со проблеми, како реагираа, што сакаат да знаат. Така, сесиите за обука стануваат интерактивни и интересни.
Производите од опсегот на безбедноста на Kaspersky Security A нудат неопходна поддршка за компаниите кои сакаат да ја подобрат својата одбрана, намалувајќи ги на скоро нула ризиците во една од најранливите области, онаа на вработените. Врз основа на најефикасните методи: игра на игри, практичен пристап и периодично повторување, за фиксирање на знаењето, тие можат да се применат на сите нивоа на организацијата.
Платформите за обука на вработените во нашата онлајн компанија се изградени така што тие не се вклопуваат во типичната досадна обука за која секој ја проверува својата е-пошта и едвај чека да ја заврши. Постојат 25 модули, опфаќајќи сè што би требало да знае лице што не работи во одделот за ИТ. На пример, модулите вклучуваат информации за заштита на мобилен уред, е-пошта, заштита на лозинка, GDPR или заштита од рансомвер. Тестовите се прават во неколку фази и вработените може да бидат изненадени кога добиле е-пошта „фишинг“. Доколку паднат во стапицата, ќе бидат известени дека овој пат тоа било само тест, но следниот пат може да претставува вистинска опасност, засегнувајќи ја целата мрежа на компанијата.
Тајната за успехот на програмата за ИТ безбедност е доследност и проценка. Исто како и во диета или во спортски перформанси, ништо не се менува преку ноќ или по напор од две или три недели: за извонредни резултати, потребна е промена во начинот на живот. Во случај на компании, потребно е преиспитување на сајбер безбедноста: можеби не е со што да се справиме еднаш годишно и да ги имаме посакуваните резултати, но тоа е континуиран напор. Што се однесува до евалуацијата, постојат два аспекта: прво, евалуација на знаењето на вработените, потоа програма за сајбер безбедност: дали има елементи што оделе подобро од другите, што функционирало, што може да се подобри? Компаниите кои успеваат да создадат култура на компјутерска безбедност, каде вработените се чувствуваат одговорни за своите постапки и применуваат, на долг рок, научените практики се победници.