Alkalmazotti kockázatok: Hogyan erősítse meg a biztonságos IT viselkedési mintákat

Az összes munkatársat, a teljes munkaidős, irodába bejáró alkalmazottól a telephelyre árukat szállítókig téjékoztatni kell a kockázati szintekről. A vállalata rendszereit érheti például a működés leállítását célzó támadás, és előfordulhat, hogy az alkalmazottak nem tudják, hogy külső szoftver vállalati rendszerekre való letöltésével a kiberbűnözők szabad utat kaphatnak a behatoláshoz.

A munkatársaknak és a szerződéses vállalkozóknak tudniuk kell, hogyan azonosítsák az adathalász támadásokat. Ha egy alkalmazottól hirtelen személyes adatok sürgős megadását kérik, vagy arra utasítják, hogy telefonon vagy azonnali üzenetben lépjen kapcsolatba a feladóval, ennek azonnal gyanút kell keltenie. Az alkalmazottakat rendszeres képzésben kell részesíteni, hogyan azonosítsák, és adjanak választ ezekre az incidensekre, azt is beleértve, hogyan elemezzék a feladó címét vagy számát, és hogy automatikusan továbbítsák az esetet az IT-részlegeknek. A képzési eljárások magukban foglalhatnak adathalász és rosszindulatú támadásokat szimuláló teszteket, annak bemutatására, milyen könnyű célponttá válhat az alkalmazott, és milyen sérülékeny a támadásokkal szemben.

Az adathalász támadások mellett az alkalmazottak biztonsági képzésének ki kell térnie olyan témakörökre, mint a smishing támadás (csaló szöveges üzenetek), pszichológiai manipuláción alapuló támadások, közösségi médiahasználat, biztonságos fájlmegosztás és biztonságos internetböngészés. 
 

Érdemes megjegyezni, hogy az adatokkal való visszaélések 74%-áról állítják, hogy emberi tényező is szerepet játszott benne, és az általunk kérdezett IT-vezetők egyharmada (30%-a) ma már jobban aggódik a hibrid munkavégzés okozta biztonságtechnológiai kockázatok miatt.  Ezért fontosabb, mint valaha a felsővezetéstől a munkavállalókig terjedő, átfogó kiberbiztonsági szabályzatok implementálása világos és átlátható kommunikációval.

Ez magában foglalja azt is, hogy az alkalmazottak tudják, hogyan használhatják megfelelően a vállalati eszközöket és rendszereket. Riasztó, hogy kutatásunk szerint a kkv-k biztonsági képzésének háromnegyede (76%-a) nem terjed ki a nyomtató vagy a lapolvasó használatára,  annak ellenére, milyen fontos, hogy az alkalmazottak biztonságosan tudják használni ezeket az eszközöket.

A kiberbiztonsági szabályzatoknak világos utasításokat kell tartalmazniuk a nyilvános Wi-Fi-hálózatok használatához is. Ennek oka, hogy a nem biztonságos kapcsolatok káros rosszindulatú támadásokhoz vezethetnek, és véletlenül még a néhány e-mail gyors elküldésének erejéig bejelentkező alkalmazott is kárt okozhat.

Ez még nem minden, a szabályzatnak a vállalati VPN használatára és bejelentkezéskor egy további azonosítási rétegként többtényezős hitelesítés (MFA) beállítására is bátorítania kell alkalmazottait. Ezenkívül figyelmeztetnie kell a munkahelyi platformok személyes eszközökön keresztül történő elérésének kerülésére, valamint emlékeztetnie a munkavállalókat, hogy soha ne osszák meg jelszavaikat.
 

A fentiek egyikét sem lehet hatékonyan végrehajtani, ha maguk a szabályzatok készítői és az IT-részleg nem jól tájékozott a legújabb kockázatokról. Természetesen az olyan kockázatok, mint amit az új alkalmazottak vagy a vállalatot elhagyók jelentenek, örökzöldek. Fontos azonban az újabban felmerülő fenyegetésekkel, például új szerződéses partnerekkel való együttműködéssel vagy az alkalmazottak által használt, a szabályzatban nem szereplő, harmadik féltől származó alkalmazások használatával kapcsolatban is tájékozottnak maradni. 

Ugyanakkor a vezetőknek olyan munkakörnyezet kialakítását is támogatniuk kell, ahol az IT-munkatársak kiberbiztonsági képzésen vehetnek részt. Az alkalmazottakat bátorítaniuk kell, hogy rákérdezzenek vagy jelentsenek minden biztonsággal kapcsolatos aggályt, hogy azokat magasabb szinten elbírálhassák, mivel ezzel növelhetik az általános tájékozottságot