Вопросы кибербезопасности для адаптации сотрудников

Вопросы кибербезопасности для адаптации сотрудников

4 февраля 2023 г.

В 2019 году сотрудник компании, занимающейся аналитикой данных, незаметно разместил объявление о поиске криптовалюты на 2,5 миллиона долларов. Взамен он предложил частную информацию о каждой муниципальной системе водоснабжения, пожарной части и центре экстренной связи в США, а также личную информацию из миллионов медицинских заявлений. ФБР установило, что Тимоти Янг использовал двухфакторную аутентификацию для взлома данных своей компании.

Хотя это крайний пример, он подчеркивает важность кибербезопасности в процессе адаптации и не только.

Угрозы со стороны сотрудников

При найме новых сотрудников у многих владельцев бизнеса возникает соблазн ускорить процесс и привлечь людей к работе как можно скорее, особенно если в компании не хватает персонала. Тем не менее, руководители и сотрудники должны понимать присущие процессу адаптации риски кибербезопасности. Наем новых работников часто означает предоставление им доступа к:

* Коммерческая тайна * Пароли компании * Списки клиентов * Личная информация

Вот почему первым важным соображением в области кибербезопасности является тщательная проверка новых сотрудников. В 2022 году внутренние угрозы были наиболее частым типом риска кибербезопасности во всем мире, учетные на 31 % всех киберпреступлений в организациях. Эти нарушения безопасности были либо небрежными, либо случайными, либо преднамеренными.

Работодатели должны знать о следующих внутренних угрозах:

1. Умышленный вред

Недовольные работники представляют значительный риск для своей компании, независимо от того, преследуют ли они личную вендетту или просто хотят подзаработать. Умышленный вред может включать использование неутвержденных технологий, сознательное посещение опасных веб-сайтов или кражу ресурсов компании. Например, сотрудник может загрузить список клиентов на USB-накопитель и продать данные третьей стороне.

2. Нажатие на неверные ссылки

Нажатие вредоносных ссылок в фишинговых сообщениях электронной почты или вредоносная реклама обычно происходит случайно и является распространенной ошибкой, которая приводит к утечке данных. Отчет Министерства юстиции Северной Каролины за 2022 год обнаружили, что взлом электронной почты, в том числе фишинг, отправленные по ошибке электронные письма, содержащие личную информацию, и другой несанкционированный доступ, стали причиной 29 % инцидентов кибербезопасности.

3. Работа в общественных местах

По мере того, как все больше людей работают удаленно, компании сталкиваются с более высоким риском кражи их данных злоумышленниками. Работа в кафе через общедоступный Wi-Fi означает, что сторонняя точка доступа может перехватить соединение сотрудника. Незнакомцы также могут подслушивать во время телефонного разговора или встречи, смотреть на чей-то экран или просматривать ноутбук сотрудника, пока тот находится в туалете. Менеджеры должны обучать сотрудников безопасным способам работы в общественных местах.

4. Плохое управление паролями

Сотрудники могут поставить под угрозу безопасность компании из-за плохого управления учетными данными для входа, будь то многократное использование одного и того же пароля или отказ от двухфакторной аутентификации. Работодатели должны подчеркивать важность частой смены паролей и обеспечения их безопасности. Они также должны объяснить, как создать надежный пароль.

Например, пароль длиной всего шесть символов, включающий прописные и строчные буквы, цифры и символы, имеет один из 735 миллиардов шансов быть взломанным.

5. Слишком много прав

Предоставление кому-либо доступа ко всем файлам компании по своей сути рискованно. Большинству сотрудников не потребуются административные привилегии, права на установку программного обеспечения или возможность останавливать плановое техническое обслуживание, такое как установка исправлений и сканирование. Большинству людей достаточно просто войти в систему и получить доступ к нескольким нужным файлам.

Работодатели должны классифицировать файлы по их важности и конфиденциальности. Затем они могут предоставить сотрудникам доступ к файлам из определенной категории или уровня привилегий. Менеджеры должны управлять привилегиями удаленно, чтобы при необходимости они могли мгновенно отозвать их.

6. Плохое управление устройствами

Сотрудники, использующие личную учетную запись электронной почты или устройство для работы компании, могут не иметь достаточных мер безопасности для защиты личных данных. У людей, работающих дома, не всегда есть антивирусное программное обеспечение или безопасная сеть, как в традиционном офисе. Компании, нанимающие удаленных сотрудников, должны убедиться, что их компьютеры правильно настроены, включая защиту от вредоносных программ и частное подключение к Интернету.

Внешние угрозы безопасности

Нарушения безопасности не всегда исходят изнутри. Злоумышленники могут получить доступ к сети следующими способами:

* Веб-атаки или атаки по электронной почте * Атаки грубой силы с использованием метода проб и ошибок для подбора паролей * Несанкционированное использование административных привилегий * Зараженные флешки * Кража или обнаружение устройства с личной информацией

Работодатели должны обеспечить тщательное обучение кибербезопасности по этим вопросам в процессе адаптации. Эффективное обучение имеет решающее значение, учитывая, что только 29 % новых сотрудников< /strong> чувствуют себя адекватно подготовленными и поддерживаемыми, чтобы преуспеть в своей работе. Инструктаж новых сотрудников о том, на что следует обращать внимание, позволяет менеджерам повысить безопасность компании и уверенность сотрудников.

1. Фишинг

Фишинг — попытка украсть конфиденциальные данные, выдавая себя за законную сторону, — по-прежнему остается основным способом запуска кибератак. Запущено более 3 млрд фишинговых сообщений ежедневно, что составляет 1% всех электронных писем. Злоумышленники даже стали отправлять телефонные звонки и текстовые сообщения, чтобы зацепить несчастных жертв.

Фишинговые атаки часто включают элемент социальной инженерии, создавая впечатление, что сообщение исходит от кого-то, кому жертва доверяет. Сотрудники должны ограничить объем личной информации, которую они размещают в Интернете, чтобы свести к минимуму риск такой атаки.

2. Вредоносная реклама

Даже если объявление выглядит законным, сотрудники никогда не должны нажимать на онлайн-объявления. Они часто содержат вредоносные программы, а иногда даже их прокрутки достаточно, чтобы установить вирус. Работодатели должны использовать программное обеспечение, блокирующее рекламу, на всех устройствах и информировать сотрудников, чтобы они нажимали только на надежные ссылки.

3. Программы-вымогатели

Хакеры, которым удается взломать корпоративную сеть, могут удерживать в заложниках конфиденциальные данные, пока кто-то не заплатит выкуп. Сотрудники, столкнувшиеся с атакой программы-вымогателя, должны немедленно сообщить об этом руководителю.

4. Человек посередине

Хакеры, которые вмешиваются в двустороннюю транзакцию, проводят атаку "человек посередине" (MITM). Прервав сетевое соединение, они могут украсть конфиденциальную информацию. Этот тип атаки часто происходит, когда сотрудники используют для работы незащищенные общедоступные сети Wi-Fi.

5. Отказ в обслуживании

При атаке типа "отказ в обслуживании" (DoS) хакеры используют несколько компьютеров или IP-адресов для повторных запросов из корпоративной сети. Атака перегружает сеть, в результате чего она становится медленной или полностью нефункциональной. Сотрудники должны сообщать руководителю о необычно медленном интернет-соединении.

Политики безопасности

Последняя тема кибербезопасности, которую следует осветить в ходе обучения, – это политика компании в отношении использования компьютеров. Новые сотрудники должны знать следующее:

1. Допустимое использование

Политика допустимого использования описывает, что сотрудники могут и не могут делать с компьютером или данными компании. Он определяет, с кем им разрешено делиться информацией, как они могут это делать и какие данные никогда не разглашать.

2. Конфиденциальность данных

Какие файлы являются чрезвычайно конфиденциальными и почему? Где сотрудники должны их хранить? Политика конфиденциальности данных должна подробно охватывать эту информацию. Сотрудники должны научиться безопасным методам, например не передавать конфиденциальную информацию по электронной почте.

3. Отчет об инцидентах

Компании должны определить, что считается инцидентом безопасности. Кому рабочие должны сообщать об этом? Какие проблемы они должны упомянуть, и насколько срочная ситуация? Сотрудники должны чувствовать себя в безопасности, сообщая о нарушении кибербезопасности своему работодателю, не опасаясь последствий.

4. Плановое обслуживание

Руководители должны сообщить сотрудникам, как выглядит их график обслуживания системы. Например, если все компьютеры обновляются раз в месяц, сотрудники должны знать об этом и позволить этому происходить. Они не должны задерживать регулярное запланированное сканирование вредоносных программ, исправления или обновления. Работодатели должны объяснить важность регулярного обслуживания программного обеспечения и то, как это выглядит по сравнению с системной атакой.

5. Инструменты безопасности

Отслеживает ли компания, какие веб-сайты посещают сотрудники, делая снимки экрана? Использует ли он трекеры активности, блокировщики рекламы или антивирусное программное обеспечение? Если это так, работодатели должны полностью информировать работников об этих мерах безопасности.

6. Удаленная работа

Как люди, работающие дома, должны защищать свои компьютеры? Как удаленные работники могут общаться друг с другом и со своими руководителями? Работодатели должны соблюдать правила, в которых подробно описывается, как быстро сотрудники должны быть доступны, могут ли они связаться со своим руководителем по мобильному телефону и как часто они будут проводить регулярные контрольные встречи.

Заключительные советы по тренировкам

Самым важным аспектом обучения новых сотрудников является объяснение важности каждой политики кибербезопасности. Вместо того, чтобы просто предлагать людям использовать двухфакторную аутентификацию, сообщите им, что это защищает ценные данные компании.

Работодатели всегда должны давать сотрудникам возможность задавать вопросы и вносить предложения. Согласно опросам Gallup, только 15% работников во всем мире чувствуют себя вовлеченными в свою работу. Однако люди, которые чувствуют себя вовлеченными, с большей вероятностью соблюдают политики кибербезопасности и в целом работают более продуктивно.

Продвижение эффективных методов кибербезопасности

Подготовка новых сотрудников включает в себя информирование их о политиках компании, угрозах безопасности и безопасном поведении в Интернете. Процесс обучения должен позволять работникам задавать вопросы и оставлять комментарии.

Работодатели, которые позволяют своим сотрудникам давать отзывы, могут улучшить свои методы обучения и заставить сотрудников чувствовать себя более вовлеченными, что приведет к более надежным мерам кибербезопасности. Эффективное обучение позволяет людям делать то, за чем они пришли, — приступать к работе.


Оригинал