Cele mai bune 3 recomandări pentru o mai bună conștientizare a securității infrastructurii IT în rândul angajaților

Pe măsură ce lucrăm din ce în ce mai mult de la distanță, fie de acasă, fie din coffee shop-ul preferat, liniile de demarcație dintre lumea consumer și cea corporate devin din ce în ce mai fine. Din păcate, în același timp, riscurile de compromitere a securității informatice devin din ce în ce mai accentuate.

Construirea unei lumi digitale mai sigure începe aici. Deci, ce ar trebui să aibă în vedere managerii IT pentru programele lor de conștientizare a securității atât acum, dar și pentru 2024? Este important să vă asigurați că sunteți adaptați la amenințările online de astăzi și de mâine, nu la riscurile de securitate de odinioară.

Factorul uman, veriga slabă în securitatea IT și importanța sesiunilor de training

Potrivit Verizon, un total de 74% din numărul total al breșelor de securitate globale înregistrate în ultimul an includ „elementul uman”, identificat de cele mai multe ori ca neglijență, eroare sau utilizatori care au devenit victime ale ingineriei sociale și ale phishing-ului.

Deși încă nu există o cale rapidă și ușoară către succes, o modalitate de bază pentru a atenua aceste riscuri o constituie programele de instruire și conștientizare în materie de securitate. De fapt, scopul final nu este doar implementarea cunoștințelor acumulate în timpul sesiunilor de training sau de conștientizare, ci mai degrabă schimbarea comportamentelor utilizatorilor pe termen lung.

Acest lucru se poate întâmpla doar rulând un program de învățare în mod continuu, pentru a menține actuale informațiile și învățămintele transmise în cadrul modulelor de instruire. Mai mult, asigurați-vă că participarea este una generală, de la interni, până la directori de nivel înalt și antreprenori cu care colaborați. Realitatea este că oricine poate deveni o țintă și o singură greșeală minoră poate declanșa un incident major.

De asemenea, pentru a avea spori șansele ca informațiile să fie bine înțelese și reținute, organizați și desfășurați training-ul în mai multe module compacte. Acolo unde este posibil, folosiți exerciții de simulare sau de “gamification” pentru a replica cât mai real o anumită amenințare și pentru a livra informațiile interactiv și distractiv, motivând participanții să se implice cât mai mult și să experimenteze.

Desigur, lecțiile pot fi chiar personalizate pentru roluri și sectoare specifice, pentru a le face cât mai relevante pentru fiecare individ și scenariu în parte.

3 subiecte de analizat cu privire la securitatea IT, pentru 2024

1.  Business Email Compromise (BEC) și phishing

Frauda de tip Business Email Compromise (BEC), care folosește mesaje de phishing direcționate, rămâne una dintre categoriile de infracțiuni cibernetice cele mai profitabile și care generează cele mai mari venituri pentru infractori. În cazurile raportate la FBI anul trecut, victimele au pierdut o sumă totală de peste 2,7 miliarde de dolari. Infracțiunile de tip BEC se bazează în cea mai mare parte pe tehnici de inginerie socială, fiind deseori puse în practică prin păcălirea victimei spre aprobarea unui transfer de fonduri ale companiei într-un cont bancar compromis, aflat sub controlul escrocului.

Există diverse metode prin care se realizează acest lucru, cum ar fi uzurparea identității unui CEO sau a unui furnizor, iar ele pot fi prevenite cu succes prin exerciții de conștientizare a metodelor de phishing. Orice metode de prevenire ar trebui aplicate concomitent cu investiții în securitate avansată a e-mailului, verificări suplimentare a oricăror solicitări de plată “urgente” și proceduri stricte pentru orice procese de plată.

Phishing-ul ca atare există de zeci de ani și încă reprezintă unul dintre cei mai buni vectori pentru a iniția accesul fraudulos în rețelele IT ale companiilor, iar cu o mare varietate de elemente implicite de distragere a angajaților atunci când lucrează de la distanță, șansele de reușită pentru un astfel de atac devin tot mai mari. Fiți mereu cu un pas înainte și adaptați permanent exercițiile de conștientizare a phishing-ului în același ritm în care tacticile escrocilor se schimbă. Simulările live pot fi un ajutor real pentru modificarea comportamentului utilizatorilor. Pentru 2024, luați în considerare instruirea echipelor cu privire la phishing-ul derulat prin mesaje text sau mesagerie (smishing), cel derulat prin apeluri vocale (vishing) și alte noi tehnici ce includ chiar și ocolirea autentificării multifactor (MFA).

Tacticile specifice de inginerie socială evoluează dinamic, așadar este recomandat să apelați la un furnizor de cursuri de instruire, care ar trebui să aibă mereu conținutul sesiunilor și materialele de suport de curs actualizate în consecință.

2. Securitate pentru lucrul la distanță sau în mod hibrid

Lucrul de acasă atrage cu sine noi preocupări legate de securitate. Încă de la începutul acestei migrări către munca în stil hibrid, experții au avertizat că angajații sunt mai susceptibili să ignore îndrumările sau politicile de securitate sau pur și simplu să le ignore atunci când sunt într-un mediu mai familiar, cum ar fi căminul sau un alt loc preferat unde lucrează de la distanță. Conform unui studiu, 80% dintre angajații care lucrează de acasă au recunoscut că, în anumite circumstanțe (zilele de vineri sau lunile de vară) sunt mai relaxați și distrași. Involuntar, prin această atitudine, se pot expune unui risc crescut de compromitere a securității IT, mai ales în contextul în care rețelele și dispozitivele de acasă nu sunt la fel de bine protejate precum echivalentele corporative. Acesta este așadar unul dintre punctele de abordat în timpul programelor de instruire, pentru care trainerii trebuie să prezinte sfaturi privind actualizările de securitate pentru laptopuri, gestionarea parolelor, conștientizarea riscului de phishing și ransomware și utilizarea exclusivă pentru sarcinile de serviciu a dispozitivelor aprobate de departamentul IT.

Mai mult, cercetări recente arată că lucrul hibrid a devenit o practică uzuală pentru multe companii, 53% dintre acestea având în prezent o astfel de politică, iar cifra este în creștere. Cu toate acestea, drumul către birou sau lucrul dintr-o locație publică aduc după sine o serie de riscuri. Unul dintre ele îl reprezintă  amenințările legate de hotspot-uri Wi-Fi publice. Astfel, angajații pot fi expuși la atacuri de tip AitM (Adversary-in-the-Middle), în care hackerii accesează o rețea și compromit datele care circulă între dispozitivele conectate și router, și la amenințări de tip „evil twin”, unde atacatorii pot duplica un hotspot Wi-Fi malițios care apare drept unul legitim într-o anumită locație.

3. Protecția datelor

   Sancțiunile aplicate pentru nerespectarea GDPR au crescut cu 168% anual, ajungând la un total de peste 2,9 miliarde de euro (3,1 miliarde de dolari) în 2022, ca rezultat al combaterii susținute a neconformității de către autoritățile de reglementare. Acest lucru este o motivație puternică pentru organizații să se asigure că întregul lor personal respectă politicile de protecție a datelor.

Una dintre cele mai bune modalități de a păstra în minte cele mai bune practici de manipulare a datelor este și va rămâne instruirea cu regularitate. Aceasta presupune păstrarea dispozitivelor în siguranță și raportarea imediată a oricăror incidente persoanei de contact relevante, dar și prevenția prin utilizarea unei criptări puternice și printr-o mai bună gestionare a parolelor.

De pildă, personalul poate beneficia de pildă de o actualizare a modului de utilizare a funcției BCC (Blind Carbon Copy) regăsită în toate platformele de email standard, și a greșelilor asociate care pot duce la scurgeri de date involuntare prin poșta electronică. Un alt aspect de luat în considerare este atragerea atenției angajaților asupra confidențialității postărilor pe rețelele sociale.

Chiar dacă în general cursurile de formare și conștientizare sunt o parte critică a oricărei strategii de securitate, acestea nu aduc rezultate dacă sunt implementate în mod izolat. Complementar, organizațiile trebuie să implementeze politici de securitate și soluții bine puse la punct, bazate pe controale și instrumente puternice precum criptarea datelor, protecția serverului de mail, managementul dispozitivelor mobil sau chiar automatizarea descoperirii și tratării vulnerabilităților din aplicații și sisteme de operare.  Motto-ul care va ajuta la construirea unei culturi cibernetice corporative mai sigure poate fi “Oameni, procese și tehnologie”.
 

ESET, unul din liderii globali pe piața de soluții de securitate cibernetică, cu un istoric de peste 30 de ani de experiență și inovație, include în gama sa soluții antivirus și anti-malware, ce se potrivesc nevoilor companiilor și organizațiilor, indiferent de dimensiune. Pachetele sale de soluții anti-malware, oferă nivele complementare de protecție multi-stratificată integrată și au capacitatea de a depista atacurile timpurii, neclasificate încă, inclusiv pe cele de tip ransomware, pentru a se evita daunele financiare și reputație ale organizațiilor.

ESET PROTECT Complete reprezintă una dintre soluțiile complexe destinată companiilor, pe care acestea o pot testa oricând gratuit. Complementar protecției anti-malware totale, această soluție adaugă protecție dedicată pentru Microsoft 365 (Exchange, OneDrive, Teams, Sharepoint). Ea asigură în mod continuu securitatea terminalelor companiei (PC, laptop, smartphone) prin intermediul unei console de management eficiente, care poate fi implementată on-premises sau SaaS. Tehnologia LiveGuard Advanced inclusă, de analiză cloud sandboxing, oferă protecție împotriva celor mai noi amenințări, nedetectate până acum, inclusiv la nivelul căsuțelor de e-mail.

Nu în ultimul rând, modulul inclus de gestionare a patch-urilor și vulnerabilităților aplicațiilor, contribuie semnificativ la reducerea suprafeței de atac asupra infrastructurii de business, iar opțiunea de criptare completă a unităților de stocare aduce securitate esențială pentru datele aflate  pe laptop-uri. 

ESET PROTECT Complete  poate fi testată gratuit de către companii, indiferent de dimensiune, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici. 

Articol susținut de ESET