Home » Teknologi » Säkerhet » Ge personalen möjlighet att ta ansvar för IT-säkerheten

Ge personalen möjlighet att ta ansvar för IT-säkerheten

Tech Page One

Ge personalen möjlighet att ta ansvar för IT-säkerheten

 

Vi behöver nästa generationens brandväggar, antivirusprogram och datakryptering för att kunna skydda känslig och värdefull information. Tyvärr finns det ingen magisk formel som löser allt det där – enligt statistiken beror mer än hälften av alla säkerhetsproblem på den mänskliga faktorn. Och det krävs människor – ”en armé av fotfolk” – för att citera min kollega John McClurg, för att försvara företagets informationstillgångar.

Nyckeln till detta försvar är säkerhetsmedvetande och utbildning. Välutbildade medarbetare är organisationens bästa försvar mot allt mer sofistikerade och ihärdiga cyberbrottslingar.  Och med ständiga tidningsrubriker som rapporterar om intrång och behovet av utökad IT-säkerhet kunde det inte vara lägligare att uppmärksamma National Cyber Security Awareness Month! Nu är det dags att ge medarbetarna mer ansvar för att skydda den information som de arbetar med varje dag.

Enligt en studie löper företag som har ett program för säkerhetsmedvetande 50 % lägre risk för medarbetarrelaterade intrång. Även om det är så gott som omöjligt att helt eliminera alla risker finns det få om ens några åtgärder som är mer kostnadseffektiva än de som går ut på att ge medarbetarna utbildning i säkerhetsmedvetande.

Märker du något, berätta då om det

Ge personalen möjlighet att ta ansvar för IT-säkerhetenDe två vanligaste hoten är illasinnade insiders och extern IT-brottslighet. För att skydda sig mot dessa är det avgörande att man höjer medarbetarnas medvetenhet om hoten och får alla att känna sig delansvariga för att skydda företagets viktiga information.

Insider-hot är svåra att värja sig mot med enbart teknik. Forskning från Carnegie Mellon University’s Computer Emergency Response Team har upprepade gånger bekräftat att de flesta insider-hot först upptäcks av andra användare som märker att något inte står rätt till, och rapporterar det. Det gäller att inte vara rädd att slå larm. Användarna behöver både utbildning och medvetenhet om hoten för att veta vad de ska hålla utkik efter och rapportera. De måste också vara beredda att ta på sig det ansvaret.

Men det är ändå hoten utifrån som ökar mest. IT-brottslingarnas ansträngningar att komma åt känsliga data ökar exponentiellt. Knepen för att utnyttja vår godtrogenhet och spela på våra känslor blir allt mer sofistikerade och raffinerade. Nyligen fick jag ett mejl från skolsköterskan på mitt barns skola om en olycka på lekplatsen, med en länk till en rapport om händelsen. Mejlet verkade komma från skolan, använde mitt barns namn och rätt namn på skolsköterskan, men det var ett klassiskt försök att lura till sig känsliga uppgifter, så kallad ”phishing” (eller ”nätfiske”). Jag kunde undvika att gå i fällan eftersom jag visste att det var mot skolans policy att kontakta föräldrar via e-post i sådana situationer.

En stunds eftertanke

En effektiv utbildning i IT-säkerhet lär användarna att tillämpa vad vi kan kalla ”en stunds eftertanke”. Innan man reagerar på ett mejl med länkar bör man läsa igenom mejlet noga och se om det innehåller något misstänkt eller underligt. Den här instinkten att stanna upp och granska mejl (eller telefonsamtal från okända personer) är bästa försvaret mot försök att manipulera oss. Det måste bli en reflex som sitter i ryggmärgen hos samtliga anställda, och inte bara hos ett fåtal hjältar. Bedragarna som försöker komma åt våra uppgifter är nämligen skickliga på att hitta de mest godtrogna användarna och sedan utnyttja dem.

För att en IT-säkerhetsutbildning ska vara effektiv behöver den innehålla följande:

Utvärdering av säkerhetsmedvetandet på företaget för att hitta bristerna och utveckla en plan för att göra något åt dem.

Kontinuerliga tester av säkerhetsmedvetandet för att förstärka inlärningen och skapa en företagskultur som tar IT-säkerheten på allvar. Genom att först testa, därefter utbilda och så testa igen kan man visa på förbättringar som ökar motivationen. Phishing-tävlingar och andra former av testning kan vara kraftfulla inlärningsverktyg eftersom medarbetarna direkt kan se vilka slags phishing-knep de har gått på.

Beredskapsträning som lär användarna att effektivt känna igen och hantera attacker. Det kan gälla allt från ökad medvetenhet om hur man analyserar mejl och telefonsamtal till hur man bäst hanterar en hackad dator. (Tips! Den vanligaste första impulsen, att starta om datorn, förstör värdefulla bevis. I stället bör man koppla loss datorn från nätverket, så att inkräktaren inte längre har tillgång till det.)

Hotdetektering är avgörande, eftersom det inte helt går att eliminera alla risker och människor trots allt kommer att göra fel ibland. Då är det av största vikt att man snabbt upptäcker intrånget så att man kan minimera skadan och fortsätta verksamheten. Vi har aldrig stött på ett företag med hundraprocentigt säkerhetsmedvetande och noll procents risk – någon kommer förr eller senare att låta sig luras.

Dell SecureWorks erbjuder en komplett uppsättning verktyg för att hjälpa verksamheter att utbilda sina medarbetare i säker IT-hantering och hur man minimerar risker. Vi hjälper användarna att förstå att var och en har ett ansvar för att skydda känsliga uppgifter och hjälpa till att bygga upp en gemensam säkerhetskultur.

Hur utbildar din organisation medarbetarna i IT-säkerhet?

 

 

Jon Ramsey

Jon Ramsey

Jon Ramsey arbetar med nationens bästa säkerhetsexperter i att identifiera och analysera cyberhot, och samtidigt utvecklar motåtgärder för att hjälpa kunder över hela världen. En verklig informationssäkerhets expert med över 20 års erfarenhet inom området.

Senaste inlägg:

 

Taggar: Säkerhet, Teknologi