Här ett debattinlägg från Adenike Cosgrove, cybersäkerhetsstrateg på Proofpoint om vikten av att personalen förstår goda säkerhetsrutiner:
”Det råder ingen tvekan om att det senaste årets turbulens har gett cyberbrottslingar större möjligheter att lyckas. Faktum är att vi under 2020 såg en ökning av både ransomware och nätfiske.
Covid-19-pandemin och de relaterade cyberhot som följde spelade så klart en stor roll här. Cyberbrottslingar slösade ingen tid med att utnyttja pandemin och kastade tusentals COVID-relaterade beten mot användare som till följd av förändrade arbetsrutiner var än mer sårbara än vanligt.
Enligt Proofpoints senaste State of the Phish-rapport krävde en klar majoritet av organisationerna att de flesta anställda skulle arbeta hemifrån till följd av pandemin.
Beredskap för distansarbete var inte något som skedde över en natt – majoriteten av de tillfrågade informationssäkerhetsexpertna i rapporten uppgav att deras anställda inte var tillräckligt rustade för att arbeta på distans. Allt eftersom ökade också många organisationer sin utbildning i säkerhetsmedvetenhet – med positiva resultat – och erbjöd specifik utbildning kring hur man kan hålla sig säker medan man arbetar på distans.
Det vore frestande att se denna implementering av ytterligare utbildning enbart som goda nyheter – men det är också att göra det väl enkelt. För det borde inte krävas en global kris för organisationer att prioritera säkerhetsmedvetenhet.
En effektiv cybersäkerhetsutbildning behöver nämligen äga rum regelbundet och kontinuerligt anpassas för att hantera de hot som för tillfället är aktuella. Och framför allt behöver den vara en central del av en organisations säkerhetsstrategi året runt. Pandemi eller ej.
Som Covid-relaterade incidenter har visat oss är det inte tillräckligt att lära användarna att det finns ett hot. För bästa resultat måste de lära sig om det i samband med verkliga attackmetoder. Först när medvetenheten om specifika och relevanta hot ökar kan beteendet också börja förändras.
Men att enbart öka medvetandet är inte riktigt tillräckligt. Säkerhetsmetoder för bästa praxis förändras på allvar när anställda är delaktiga. Enkla åtgärder som att en anställd notifieras när mejlet hen rapporterade visade sig vara skadligt kan hjälpa till att driva den övergripande säkerhetskulturen framåt.
Tyvärr är denna träningsnivå sällsynt. Endast 64 procent av organisationerna genomför formella utbildningar. I nästan två tredjedelar sker träning av något slag inte mer än fyra gånger om året. Och 36 procent utbildar bara användare i vissa roller eller avdelningar.
Siffror som dessa är oroväckande. Vi vet att cyberbrottslingar alltmer riktar sina attacker mot enskilda användare snarare än infrastruktur. Att inte förse de anställda med kunskapen att upptäcka och avfärda attacker är i bästa fall riskabelt och i värsta fall vårdslöst.
Relevant, riktad och säkerhetsmedveten utbildning i sitt sammanhang fungerar, det har tydligt framgått under pandemin. Organisationer måste använda denna erfarenhet för att genomföra långsiktiga utbildningsprogram med målet att ändra riskabelt beteende – och utveckla säkerhetsprogram som fokuserar på individen och som är anpassade till verkliga aktuella hot.
En sådan strategi är bara möjligt genom att placera användare i centrum av ditt försvar. De är ofta det enda som står mellan framgång och misslyckande vid en attack. När du regelbundet levererar denna omfattande och människocentrerade utbildning skapar du en god säkerhetskultur. En kultur där din personal förstår hur deras beteende kan sätta din organisation i fara – och där samtliga medarbetare vet hur de upptäcker och förhindrar cyberattacker.
– Adenike Cosgrove, cybersäkerhetsstrateg, Proofpoint –
