Nyheter

Därför bidrar oengagerad personal till ökade säkerhetsrisker

Adenike Cosgrove Säkerhetsexpert, Proofpoint

Över 90 procent av alla framgångsrika cyberattacker kräver mänsklig inblandning, därför är medarbetarna idag den främsta ingången för cyberbrottslingar som vill skada din organisation. I de flesta fall bryter sig kriminella aktörer inte in, de släpps in via ett felaktigt klick eller ett återanvänt lösenord. 

Med andra ord ser cyberbrottslingar numer organisationers medarbetare som inkörsporten till att stjäla känsliga företagsdata, snarare än försöka utnyttja sårbarheter i den tekniska infrastrukturen. Som svar har många organisationer utbildat sin personal i säkerhetsmedvetenhet för att skydda sig. Men situationen är fortfarande långt från önskvärd. Trots att utbildning bör ske kontinuerligt, är det i dag endast 28 procent av företagen som håller säkerhetsutbildningar mer än två gånger om året.

Även där utbildningen är mer regelbunden möter organisationer utmaningar i form av oengagerad och ofta likgiltig personal. Forskning visar att användare fortsätter att uppvisa riskabla beteenden och ofta ignorerar bästa praxis för säkerhet trots genomgången säkerhetsutbildning. Av de tillfrågade erkänner 42 procent att de vidtagit minst en riskfylld åtgärd som att ladda ner skadlig programvara, och 56 procent tillåter vänner och familj att använda enheter utfärdade av arbetsgivaren.

Att öka medvetenheten är viktigt, men det är bara det första steget på vägen mot en kultur där bästa praxis blir standard. Det enda sättet att skapa en sådan kultur, och styra personalen bort från riskfyllda vanor, är att hålla användarna engagerade i varje steg av säkerhetsarbetet.

Även om regelbundna påminnelser är bra, riskerar du att personalen blir oengagerad om du fortsätter att prata om samma saker. Vi har sett tydliga bevis på detta under det senaste året. I årets upplaga av State of the Phish kunde 53 procent av användarna definiera begreppet nätfiske korrekt, en minskning från 63 procent föregående år. Medvetenheten kring vanliga termer som skadlig programvara och smishing minskade också med 2 procent, respektive 8 procent. Ransomware var den enda termen med en ökad förståelse, men ändå kunde bara 36 procent definiera termen.

De flesta användarna är inte cybersäkerhetsexperter. Det är därför osannolikt att de relaterar till modeord, jargong och torr statistik. Presentera processen för cybersäkerhet som en berättelse. Visa användarna steg för steg hur enkla misstag som att inkorrekt stänga ett program, använda en obehörig enhet eller klicka på en skadlig länk riskerar att öppna dörren på vid gavel för cyberbrottslingar.

Hotbilden utvecklas ständigt och utbildningarna måste göra detsamma för att vara relevant för de hot din organisation står inför. Det viktiga är att din personal utbildas kring motiv och metoder för vanliga cyberattacker och var de är mest benägna att manipuleras till att utföra en skadlig handling.

Tiden då den dagliga cybersäkerheten enbart hanterades av IT-team och administratörer är förbi sedan länge. Numera skickar vi, tar emot och bearbetar stora mängder data på en daglig basis, både i vårt arbete och privatliv – och då behöver vi också ha en hög säkerhetsmedvetenhet. På samma sätt bör det proaktiva arbetet med cybersäkerhet också ständigt placeras i centrum.

Tiden då den dagliga cybersäkerheten enbart hanterades av IT-team och administratörer är förbi sedan länge. Numera är det människorna som utgör det främsta målet för cyberkriminella, och som därmed måste utgöra defensiven. I en tid där vi skickar, tar emot och bearbetar stora mängder data på en daglig basis, är det därför viktigt att beslutsfattare jobbar för att skapa engagemang, höja medvetenheten och sätta det proaktiva arbetet med cybersäkerhet i centrum.