Oavsett om det handlar om att införliva en zero-trust-arkitektur, ta in tvåfaktorsautentisering eller att flytta till säkra, molnbaserade applikationer så finns det många praktiska sätt företag bättre kan skydda sig från potentiellt förödande cybersäkerhetshot och intrång.
Däremot är den viktigaste faktorn i att säkerställa att protokollen för cybersäkerheten fungerar bra inte alltid tekniken – det är dina anställda.
Oavsett hotens omfattning eller organisationens storlek spelar anställda en kritisk roll i att avfärda hackarnas, datatjuvarnas- och andra elaksinnade aktörers olika försök.
Ansvaret över att bygga ett starkt mantra kring cybersäkerhet borde inte bara vila på IT-avdelningens axlar. Det kräver proaktiv utbildning och deltagande från alla för att bygga och bibehålla en kultur som grundar sig i god säkerhetshygien.
Hoten växer i samklang med nya arbetssätt
Att tillgodose detta hot är mer kritiskt än någonsin eftersom distansarbetande kollegor använder jobbrelaterade enheter för personligt bruk. Dessa klienter når bortom skyddet av företagets brandvägg och används ofta för sociala medier och andra personliga aktiviteter vilket skapar säkerhetsluckor som kan vara svåra för verksamheten att kontrollera.
Resultaten för Verizons 14e årliga Data Breach Investigations Report (DBIR) visar att 85 % av säkerhetsintrången innefattar det mänskliga faktorn där nätfiske stod för 36 % av fallen, en ökning om 11 % från förra året. Verizon är inte ensamma i sin analys heller. Nätverkssäkerhetsföretaget Sonicwall utförde en studie och resultaten visar att kända attacker inte bara är omstörtande för världens ledande företag men hela vårt sätt att leva. Under den första halvan av 2021 utfördes det 304,7 miljoner attackförsök med ransomware globalt vilket var ungefär samma siffra som för hela 2020.
Från inskolningen av nyanställda till de som har arbetat en längre tid är det viktigt att uppmuntra en kultur där alla anställda blir ambassadörer för säkerheten, detta är kritiskt i alla organisationer. Även om de flesta är brett medvetna om behovet av en starkare säkerhetshållning så är idén om att vara ”den goda cyberhygienens försvarare” inte alltid något som är en självklarhet utanför IT-avdelningen.
Första steget är att avgöra företagets styrkor och svagheter likväl som dess säkerhetsbehov för att sedan bygga ett träningsprogram utefter detta. Det kan hjälpa att flera avdelningar lyder under en samlad vision som tydligt beskriver de beteenden som krävs. Det kan vara något så enkelt som ”vårt uppdrag är att skydda företagets säkerhet genom noggranna cybersäkerhetsmetoder”.
Det gäller att hålla det enkelt och lätt att följa för alla anställda. Detta kan hjälpa till att bygga en personalstyrka som tror på arbetet de lägger ned och som faktiskt tänker på sitt ansvar när det kommer till säkerheten. Resultatet blir ett extra stöd för produktivitet och framgång överlag. Genom att erbjuda den rätta mixen av verktyg och utbildning hjälper det anställda att tänka och agera proaktivt kring cybersäkerhet vilket säkerställer att de förstår att cyberhygien är en kontinuerlig process som kräver regelbunden utvärdering. För små företag med bara en handfull anställda och ett fåtal datorer kan detta vara så pass enkelt som att löpande stämma av säkerhetsfrågor med ditt arbetslag.
Logistiken kan vara mer komplex men idén är att samma sak ska fungera även för de största organisationerna. Från insiktsfulla föredrag från olika avdelningar om det rådande hotbilden till att förstärka vikten av att individer förstår att de faktiskt gör skillnad. Det är avgörande att hålla samtalet kring cybersäkerheten högt på agendan genom repetition, förstärkning och relevans. Dessa utbildningstillfällen hjälper anställda att bli dina bästa säkerhetsambassadörer för att undvika och förhindra hot när de går in på mailen, sociala medier eller andra appar med företagets tekniska resurser på sina egna enheter.
Även efter att ett hot har upptäckts finns det många andra praktiska sätt att skydda anställda och ditt företag. Ett system för att rapportera in incidenter erbjuder en tydlig, kontinuerlig kanal för att rapportera nätfiske och försök med hackning. Många kanske blir förvånade över hur ofta incidenter upptäcks av anställda men som aldrig rapporteras in. Den vanligaste orsaken till att de inte rapporteras är antagandet om att någon annan redan har rapporterat in denna suspekta aktivitet eller att IT-avdelningen förmodligen redan har upptäckt det.
Mät och fira framgångarna
Ett program för säkerhetsmedvetenhet kan forma anställdas beteende för att minska sannolikheten för eller påverkan av säkerhetsincidenter, men det räcker inte alltid. Allt eftersom utbildningen fortsätter, överväg olika sätt att göra det hela mer interaktivt – som ett spel. Ordna en frågesport med trevliga priser eller ett belöningsprogram. Detta kommer att hjälpa till att engagera medarbetarna och göra det lite roligare.
Många utbildningsplattformar inkluderar mätvärden om slutförandefrekvenser, vilket ger dig ytterligare användbara mått på hur många av dina anställda som slutför utbildningen inom säkerhetsmedvetenhet och hur lätt den är att förstå. När utbildningen fortskrider är det bra att visa hur det går i kampen mot hackarna. Finns det data som visar hur många försök som stoppades? Finns det ett nätfiskemail eller något misstänkt en anställd identifierat och omintetgjort som kan visas som ett exempel på god säkerhetshygien? Om svaren är ja, se till att fira dessa skyddsåtgärder så att andra anställda känner sig mer motiverade att göra samma sak.
Om ransomware och attacker mot webbapplikationer fortsätter att växa, kan dina anställda vara den avgörande mänskliga brandväggen, men det kommer att krävas att alla är ombord!
Av: Joakim Öhrström, Security Solutions Specialist, Verizon Business Sweden
