Într-o lume în care lucrăm tot mai des de la distanță, fie de acasă, fie din cafeneaua preferată, granițele dintre sfera corporativă și cea personală devin tot mai neclare. Din păcate însă, odată cu aceasta, riscurile privind securitatea informatică devin tot mai accentuate.
Construirea unei lumi cibernetice mai sigure începe aici. Prin urmare, ce ar trebui să includă managerii IT în programele lor de conștientizare a securității în perspectiva anului 2024? Este foarte important ca acest proces educațional să fie adaptat la amenințările digitale actuale și viitoare, nu la riscurile trecute.
Factorul uman, punctul sensibil în securitatea IT; importanța training-urilor dedicate
Conform Verizon, 74% din totalul breșelor de securitate la nivel global înregistrate în ultimul an au implicat "elementul uman," adică eroare, neglijență sau utilizatori căzuți pradă atacurilor de phishing și ingineriei sociale. Programele de formare și conștientizare în securitate digitală sunt esențiale pentru a reduce aceste riscuri, dar nu există o cale rapidă și ușoară către succes. Mai degrabă, ceea ce trebuie implementat nu se referă doar la formare sau conștientizare, ci și la schimbarea comportamentului utilizatorilor pe termen lung.
Acest deziderat se realizează prin desfășurarea continuă a programelor, menținându-le actualizate și asigurându-se că toți angajații participă, de la cei interni până la antreprenori și directori de nivel înalt. O atenție deosebită ar trebui acordată construirii sesiunilor de training în module compacte pentru o mai bună înțelegere și aprofundare a informațiilor. Mai mult, introducerea de exerciții de simulare sau de “gamification” poate face învățarea mai interactivă și distractivă, motivând participanții să se implice și să experimenteze. Nu în ultimul rând, sesiunile pot fi personalizate pentru diferite roluri și echipe sau departamente, pentru a le face relevante pentru fiecare individ.
Citeste si:
Trei subiecte de securitate cibernetică demne de abordat în 2024
1. Business Email Compromise (BEC) și phishing
Frauda de tip Business Email Compromise (BEC), care utilizează mesaje de phishing direcționate, rămâne una dintre cele mai profitabile infracțiuni cibernetice. În 2022, victimele au pierdut peste 2,7 miliarde de dolari conform rapoartelor FBI. Această infracțiune se bazează în mare măsură pe inginerie socială și poate fi prevenită prin sesiuni regulate de conștientizare asupra metodelor de phishing, combinate cu investiții în securitatea avansată a e-mailului și procese si proceduri de plată mai riguroase.
Phishing-ul, în general, rămâne un vector eficient pentru atacuri asupra rețelelor corporative. Dat fiind contextul actual, în care angajații sunt mai relaxați lucrând de la distanță, probabilitatea reușitei unui astfel de atac crește.
Citeste si:
Noile tactici și tehnici aduc de la sine și nevoia adaptării exercițiilor de conștientizare a phishing-ului. Pentru anul 2024, sesiunile de conștientizare a phishing-ului ar trebui adaptate, luând în considerare metode precum phishing-ul prin mesaje text (smishing), apeluri vocale (vishing) și alte tehnici noi care vizează chiar și ocolirea autentificării multifactor (MFA).
Colaborarea cu furnizori de training-uri capabili să-și actualizeze conținutul livrat în mod curent poate fi extrem de utilă.
2. Securitate pentru lucrul la distanță sau în mod hibrid
Experții avertizează că angajații sunt mai predispuși să ignore politicile de securitate atunci când lucrează de acasă. Un studiu a relevat că 80% dintre angajații care lucrează de acasă recunosc că, în anumite circumstanțe, devin mai relaxați și mai distrași, expunându-se astfel unor riscuri crescute de compromitere a securității IT. Programele de formare ar trebui să abordeze riscurile de phishing și ransomware, să promoveze actualizările de securitate pentru laptopuri, gestionarea parolelor și utilizarea exclusivă a dispozitivelor aprobate de managerii IT.
Lucrul în mod hibrid devine norma pentru multe companii, iar aceasta implică riscuri adiționale. Utilizarea hotspot-urilor Wi-Fi publice poate expune angajații la amenințări precum atacuri Adversary-in-the-Middle (AiTM) și „evil twin”. Programele de conștientizare trebuie să includă informații despre aceste riscuri și să ofere recomandări pentru protejarea datelor în astfel de situații.
Citeste si:
3. Protecția datelor
Amenzile GDPR au înregistrat o creștere anuală de 168%, ajungând la peste 2,9 miliarde de euro (3,1 miliarde de dolari) în 2022, ca rezultat al eforturilor susținute ale autorităților de reglementare în combaterea neconformității. Acesta este un motiv puternic pentru ca organizațiile să se asigure că angajații respectă politicile de protecție a datelor.
Sesiunile regulate de formare sunt esențiale pentru însușirea și menținerea practicilor optime de manipulare a datelor. Aceste practici includ utilizarea unei criptări puternice, gestionarea eficientă a parolelor, păstrarea dispozitivelor în siguranță și raportarea imediată a oricăror incidente.
De asemenea, personalul poate beneficia de exemplu de o actualizare a greșelilor asociate cu activitatea derulată pe platformele de email standard, greșeli ce pot duce la scurgeri neintenționate de date prin poșta electronică
Citeste si:
Deși cursurile de formare și conștientizare sunt esențiale în strategiile de securitate, acestea trebuie să fie completate de soluții și politici de securitate bine definite, bazate pe controale puternice și instrumente precum managementul dispozitivelor mobile, criptarea datelor, protecția serverelor de e-mail sau chiar automatizarea descoperirii și remedierii vulnerabilităților din aplicații și sisteme de operare.
"Oameni, procese și tehnologie" reprezintă mantra care va contribui la dezvoltarea unei culturi corporative mai sigure în mediul cibernetic.
ESET, unul din liderii globali pe piața de soluții de securitate cibernetică, cu un istoric de peste 30 de ani de experiență și inovație, include în gama sa soluții antivirus și anti-malware, ce se potrivesc nevoilor companiilor și organizațiilor, indiferent de dimensiune.
Pachetele de soluții anti-malware ESET oferă nivele complementare de protecție multi-stratificată și au capacitatea de a depista cele mai noi atacuri, inclusiv pe cele de tip ransomware, evitând daunele financiare și protejând astfel reputația organizațiilor.
Citeste si:
ESET PROTECT Complete reprezintă una dintre soluțiile complexe destinată companiilor, pe care acestea o pot testa oricând gratuit. Complementar protecției anti-malware totale, această soluție adaugă protecție dedicată pentru Microsoft 365 (Exchange, OneDrive, Teams, Sharepoint). Ea asigură în mod continuu securitatea terminalelor companiei (PC, laptop, smartphone) prin intermediul unei console de management eficiente, care poate fi implementată on-premises sau SaaS. Tehnologia LiveGuard Advanced inclusă, de analiză cloud sandboxing, oferă protecție împotriva celor mai noi amenințări, nedetectate până acum, inclusiv la nivelul căsuțelor de e-mail.
Nu în ultimul rând, modulul inclus de gestionare a patch-urilor și vulnerabilităților aplicațiilor, contribuie semnificativ la reducerea suprafeței de atac asupra infrastructurii de business, iar opțiunea de criptare completă a unităților de stocare aduce securitate esențială pentru datele aflate pe laptop-uri.
Citeste si:
ESET PROTECT Complete poate fi testată gratuit de către companii, indiferent de dimensiune, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici.
Sursa foto: eset.ro
Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »
Te-ar putea interesa și:
