О невредном ИБ-алармизме

Дата: 17.11.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
О невредном ИБ-алармизме

Когда вы слышите слова «информационная безопасность», на ум приходят брандмауэры, антивирусные программы и многофакторная аутентификация. Но о чем вы можете не думать, так это об одной серьезной уязвимости, которая есть в каждой системе безопасности: о людях.

Очевидно, люди ошибаются. Ими можно манипулировать или обмануть. У некоторых из нас не всегда самые лучшие намерения (подумайте: недовольные бывшие сотрудники). К сожалению, людей нельзя программировать. Итак, как лучше всего «залатать» эту человеческую уязвимость?

В данной заметке мы обсудим восемь советов по разработке программы повышения осведомленности о безопасности, чтобы вы могли защитить информацию своей компании от «человеческих атак».

1. Установите политики безопасности

Сильная безопасность начинается с политик — правил, определяющих, что безопасно, а что нет. Они должны учитывать все проблемы и методы безопасности вашего бизнеса, в том числе способы шифрования электронной почты, ноутбуков и мобильных устройств; аутентифицировать клиента; и уничтожить документы. Вы захотите публиковать правила, где ваш персонал имеет легкий доступ. Кроме того, не забудьте ежеквартально или ежегодно пересматривать свою политику, чтобы убедиться, что она остается актуальной.

Дьявол кроется в деталях, и информационная безопасность ничем не отличается. Простые передовые методы могут иметь большое значение в обеспечении безопасности вашего бизнеса и информации. Рассмотрите возможность включения в свою программу следующего:

  • Требовать от сотрудников менять пароли каждые 90 дней.
  • Настройте виртуальную частную сеть для доступа сотрудников при работе из дома.
  • Убедитесь, что на всех бизнес-ноутбуках, настольных компьютерах и серверах установлена последняя версия антивирусного и шпионского ПО.
  • Обеспечьте соблюдение подробной политики для смартфонов, которая требует полного шифрования устройства и кодов доступа и не позволяет сотрудникам хранить на своих телефонах какую-либо информацию, связанную с бизнесом.
  • Своевременно применяйте обновления программного обеспечения.
  • Используйте систему, которая автоматически шифрует все исходящие электронные письма и ограничивает личные сообщения только личными учетными записями электронной почты сотрудников.
  • Храните резервную копию всей информации на устройствах компании.
  • Разработайте процедуру увольнения сотрудника, которая включает изменение всех паролей, которые может знать сотрудник, и сбор всей собственности компании, ключей и пропусков, находящихся в его или ее владении.

Помните, что проводимое вами обучение должно обеспечивать соблюдение принятых вами политик и передовых методов. Это даст вашим сотрудникам причину, по которой соблюдаются определенные методы, и даст направление вашей программе повышения осведомленности о безопасности.

2. Тренируйся и тренируйся. Снова и снова

Чтобы быть эффективным, план обучения должен предусматривать как вводное обучение, так и постоянное подкрепление. Таким образом, новые сотрудники с самого начала поймут методы обеспечения безопасности вашей фирмы, а опытные сотрудники будут иметь возможность регулярно укреплять привычки в отношении безопасности. Вот несколько шагов, которые вы можете предпринять, чтобы начать:

  • Запишите свои цели и то, как вы планируете их достичь.
  • Составьте календарь, когда будут проходить различные этапы вашего обучения.
  • Поделитесь этой информацией со своими сотрудниками. Это продемонстрирует вашу приверженность запуску и поддержанию вашей программы повышения осведомленности о безопасности.

3. Борьба с телефонным мошенничеством

Это может быть клиент, запрашивающий «срочный» банковский перевод. Это может быть кто-то из Microsoft, сообщающий вам, что вам необходимо «обновить» вашу систему. Эти, казалось бы, законные запросы, как правило, застают нас врасплох.

Такие мошенники (также известные как социальные инженеры) охотятся за человеческими слабостями. Если ваша компания не готова к мошенническим телефонным мошенничествам, любой, кто ответит на звонок, может стать слабым звеном, открывающим доступ к вашему бизнесу.

Чтобы помочь защититься от телефонного мошенничества, включите профилактику социальной инженерии в свой телефонный тренинг или проведите ролевую тренировку, в которой один человек является мошенником, а другой принимает вызов. В Интернете можно найти множество примеров.

С другой стороны, обратите внимание на то, что вы загружаете на свой телефон. Количество вредоносных программ для мобильных устройств растет, и 99,9% из них размещаются в сторонних магазинах приложений. Было бы разумно иметь смартфон исключительно для использования в бизнесе или иметь политику, запрещающую сотрудникам хранить любую информацию о клиентах на своих телефонах.

4. Не позволяйте персоналу попадаться на фишинговую приманку

Знаете ли вы, что большинство кибератак начинается с фишинга (т. е. с мошеннических писем)? Несмотря на то, что в области спам-фильтров и антивирусного программного обеспечения были достигнуты успехи, наиболее эффективным средством обучения ваших сотрудников является показ им реальных примеров.

Проверьте папку нежелательной почты и поделитесь снимками экрана с сотрудниками. Только не пересылайте фактическое электронное письмо, так как это увеличивает вероятность того, что кто-то нажмет на плохую ссылку. Вы также можете превратить слайд-шоу в игру. Попросите своих сотрудников определить предупреждающие знаки или определить какие электронные письма являются настоящими или поддельными. Небольшие вознаграждения могут стимулировать ваших сотрудников.

5. Дополнение с программным обеспечением

В последние годы были разработаны различные программы обучения безопасности, которые предоставляют обучающие материалы по безопасности (например, интерактивные игры, презентации и видео). Некоторые программы также включают инструменты моделирования фишинга, которые позволяют создавать поддельные фишинговые электронные письма, отправлять их своим сотрудникам, а затем создавать отчеты о том, кто нажимал, а кто нет. Эти данные могут помочь вам получить базовый уровень осведомленности вашей компании в области безопасности, и вы можете использовать их позже, чтобы оценить эффективность вашего обучения.

6. Будьте в курсе

В наши дни найти новости информационной безопасности несложно. RSS-канал — отличный инструмент для сбора различных источников новостей безопасности. Когда вы видите что-то, имеющее отношение к вашей практике — будь то программное обеспечение, которое использует ваша фирма, или смартфон, которым владеет сотрудник, — поделитесь этим. Вы также можете объединить основные заголовки в ежемесячный или ежеквартальный информационный бюллетень. Это может начать разговор или предупредить персонал о том, чего они не знали. В любом случае, это поможет обеспечить безопасность, не отвлекаясь от рабочего дня.

7. Будьте креативными, а не страшными

Технический трактат о шифровании не окажет никакого влияния, но забавный плакат из одного предложения, сделанный из кофемашины, может. Помните об этих указателях:

  • Подумайте, как сделать обучение интерактивным и увлекательным.
  • Мыслите нестандартно.
  • Попробуйте то, что не пробовали раньше, потому что это именно то, что люди запомнят.

Важно знать, что вы, вероятно, столкнетесь с «шокирующим» материалом при исследовании контента для своей программы. Помните, что осведомленность о безопасности — это не паранойя. Речь идет о том, чтобы выработать безопасные привычки, чтобы борьба с этими угрозами стала второй натурой. Ваш тон может сделать или нарушить ваше сообщение. Сделайте это легким, информативным и веселым.

8. Лучше меньше, да лучше

Меньше всего вам нужно создавать «шум», который ваш персонал слышит, но не слушает. Например, если вы следуете совету №6, не делитесь статьей каждый день. Снимайте еженедельно или ежемесячно и делитесь только темами, которые касаются лично ваших сотрудников.

Создание вашей лучшей системы

Одним словом, самое эффективное решение безопасности — это обучение. Вы хотите, чтобы ваши сотрудники распознавали атаки и принимали правильные решения, но вы не хотите давать им столько информации, чтобы вы их подавляли. Используя приведенные здесь советы, вы будете на пути к созданию и поддержанию устойчивой и эффективной программы повышения осведомленности о безопасности.

17 ноября, 2021


Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *