Osakondadeülene küberturvalisuse koolitus digitaalturundajatele

Intro

Küberkurjategijad arenevad nii arvuliselt kui ka loominguliselt. Kas teadsite, et 2023. aastal kaotasid nii tarbijad kui ka ettevõtted küberkuritegevuse tõttu 12,5 miljonit dollarit ja et FBI andmetel on see number tõenäoliselt veel madalal tasemel?

Lisaks võime oodata, et see arv jätkab tõusu, sest andmed näitavad, et 2023. aasta oli küberrünnakute rekord, mille maht kasvas 72% võrreldes 2021. aastaga (eelmise rekordiomanikuga). Tähelepanuväärne on, et selliste sissetungide põhjus on tavaliselt argine, kusjuures e-posti rünnakud on üks levinumaid. 94% organisatsioonidest teatas e-posti pahavara kaudu toimunud rikkumistest ning uuringud näitavad, et 35% pahavara rünnakutest edastatakse e-posti teel.

Võrdluseks, keskmine kahju andmete rikkumise tagajärjel on 4,4 miljardit dollarit. Teisisõnu, teie organisatsioon on ühe halva e-kirja kaugusel suurest rahalisest kaotusest. Ja need on ainult e-kirjad; kahjuks on küberkurjategijad koos tehnoloogia arenguga oma mängu tõhustanud.

Unsplash

Kuigi need arvud on hirmutavad, rõhutavad nad siiski vajadust, et kogu ettevõtte üksused ühendaksid oma jõud ettevõtte andmete kaitsmiseks. Ei piisa sellest, kui teie ettevõttes on vaid üks meeskond, kes tegeleb küberturvalisuse tarkvara hooldamisega; meeskonnad kogu organisatsioonis peavad tundma ja rakendama küberturvalisuse parimaid tavasid kogu oma igapäevaste ülesannete raames.

See kehtib eriti teie turundusosakonna kohta. Turundusosakonnal on juurdepääs suurele hulgale kliendiandmetele ja nad kasutavad neid andmeid aktiivselt oma igapäevases töös. See muudab turunduse küberkurjategijate jaoks eriti väärtuslikuks sihtmärgiks; kui mõni vähem kogenud praktikant või isegi ülekoormatud direktor avab vale e-kirja, klõpsab valele lingile või avab muul viisil ukse, on teie ettevõte silmitsi mitme miljoni dollari suuruse kahjuga. Rääkimata löögist teie mainele, sest kliendid usaldavad oma andmeid vähem tõenäoliselt organisatsioonile, kes neid valesti paigutab.

Kuidas saate siis oma turundusosakonda ette valmistada, et vältida küberturbeohte? Mida on vaja teha selleks, et kõik oleksid küberturvalisuse protokolliga kursis, ja kuidas saate mõõta oma meeskonna edusamme programmi läbimisel? Selles artiklis jagame praktilisi nõuandeid ja nippe, mis aitavad teil koondada meeskonnad ühtseks rindeks, kaitsta ettevõtte andmeid ja vältida küberturbeohte isegi nende arenedes.

Teadlikkuse suurendamine

Unsplash

Meeskonnad ei saa hakata tegelema ohuga, millest nad ei ole teadlikud. Te ei tohiks kunagi eeldada, et inimesed teie turundusmeeskonnas on teadlikud (isegi elementaarsel tasemel) küberkurjategijate taktikatest, mida nad kasutavad sissemurdmiseks. Viige läbi oma meeskonna teadlikkuse põhiaudit, testides nende teadmisi nendest levinud küberrünnakutest:

• Pahavara Kuidas küberkurjategijad sageli pahavara töötajate arvutitesse toimetavad? Kas on võimalusi selle soovimatu sissetungi vältimiseks?
• Phishing Mida peaksite tegema, kui saate väljastpoolt ettevõtet e-kirja, mille allosas on klikitav link? Kui e-kiri väidab, et see pärineb ettevõtte siseselt, kuid sellel on sarnane klikitav link ja see tundub kummaline, näiteks kui teie tegevjuht palub kõigil töötajatel täita vorm, mida peaksite tegema?
• Social Engineering Kas te peaksite kunagi edastama tundlikku teavet, näiteks ettevõtte andmeid, paroole või isiklikke andmeid, veebi kaudu? Kui keegi, kes väidab end olevat ettevõtte seest (kuid keda te ei tunne), küsib teilt neid asju e-posti teel, millist protokolli saate järgida, et kontrollida e-kirja õigsust?

Kui olete saavutanud põhilise ettekujutuse oma meeskonna üldisest teadlikkusest, on aeg teha oma osa ja täita lüngad nende teadmistebaasis. Teadlikkuse tõstmine on riskide vähendamiseks ülimalt oluline ja selle teadlikkuse säilitamiseks on ka muid võimalusi peale koolitusprogrammi, mille rakendamist peaksite kaaluma kogu ettevõttes.

Kuigi koolitusprogrammid on samuti olulised (nagu me kohe arutame), soovite, et küberturvalisus oleks teie töötajate meeles iga päev; ja selle eesmärgi saate saavutada nende lihtsate protsessimuudatustega.

• Seadmete karastamise protokollid Protokolli kehtestamine, mis nõuab töötajatelt ja teistelt ettevõtte süsteemi kasutajatelt paroolide sagedast uuendamist. See on kriitilise tähtsusega, sest isegi üks süsteem, mis kasutab endiselt vana parooli, on haavatavus, mida küberkurjategijad võivad ja tahavad ära kasutada. Ometi kirjutavad paljud organisatsioonid selle sammu maha kui tühise asja, millega nad tegelevad hiljem - kui see kirjeldab teie organisatsiooni, siis on see üks esimesi asju, mida saate enda kaitsmiseks teha.
• End-to-end krüpteerimine Kui teil on olemas süsteem, mis võimaldab andmete krüpteerimist liikumise ajal, on see väga oluline, kuid te peate tagama, et te suudate krüpteerida andmeid ka puhkeseisundis. Töötajad peaksid olema teadlikud nende süsteemide olemasolust ja nende rollist.
• Paranduste haldamine On paratamatu, et operatsioonisüsteemide vananedes muutuvad haavatavused nii silmatorkavamaks kui ka pakilisemaks. Hoidke probleemi üleval, andes sageli välja parandusi ja julgustades töötajaid oma seadmeid võimalikult sageli uuendama. Kui teie turundusosakonna töötaja mingil põhjusel nimetatud parandusi ei paigalda, jätab ta oma süsteemi võimalikele rünnakutele avatuks. Regulaarse uuendamisprotsessi kehtestamine ja töötajate vastutusele võtmine on ülimalt oluline.

Kui olete hinnanud töötajate olemasolevaid teadmisi ja rakendanud neid kogu ettevõtet hõlmavaid tavasid, on aeg pöörduda järgmise sammu juurde: koolitus.

Põhjaliku koolitusprogrammi kehtestamine

Unsplash

Koolitusprogrammi kehtestamise võti, mis jääb püsima, seisneb selles, et seda ei käsitleta kui ühekordset seminari. Keegi, ja ma mõtlen, et mitte keegi ei jäta midagi meelde 30-minutilisest kolledži loengust küberrünnakute ohtudest, mis on varustatud ettevõtte jaoks sobiva brändi ja säravate üleminekutega. Parimal juhul mäletavad meeskonnaliikmed ühe või kaks fakti, kui nad teavad, et pärast seda on test; halvimal juhul vähendavad nad lihtsalt oma akna ja keskenduvad oma tööle, käsitledes seda eluliselt tähtsat kursust kui kontrolltööd personalitöötaja kontrollnimekirjas.

Parim viis luua koolitusprogramm, mis annab väärtust, on keskenduda praktilistele arusaamadele. Lühikese ettekande asemel käsitlege koolitust kui mitmest seminarist koosnevat kursust, mis nõuab, et töötajad demonstreeriksid igal sammul oma uusi teadmisi. Võite kasutada selle kursuse erinevaid etappe, et õpetada neile mitte ainult põhilisi parimaid tavasid, vaid ka selliseid küberturvalisuse suundumusi nagu:

• Plokiahela tehnoloogia Plokiahela on üks uusimaid uuendusi andmeturbe valdkonnas, kuna selle sisseehitatud turvalisus muudab selle ideaalseks andmete jagamiseks ja tehingute tegemiseks. Lühikursus plokiahela kasutamisest tulenevatest eelistest ja sellega seotud ainulaadsetest turvaküsimustest oleks suurepärane algkursus, eriti kui teie organisatsioon kaalub selle kasutamist.
• Pimedad kiudoptilised võrg ud Uus viis võrkude struktureerimiseks, mis võimaldab kontrollida stabiilsust, turvalisust ja ribalaiust, on samuti kiiresti muutumas populaarseks. Osaliselt seetõttu, et need võimaldavad kasutajatel hõlpsasti rakendada andmeturbeprotokolle, ja osaliselt nende prognoositavate kulude ja madala üldise latentsuse tõttu. Sellekohane koolitus õpetaks töötajatele, kuidas suhelda tumedate kiudoptiliste võrkudega, millised kontrollid on olemas ja kuidas need võrgud lisavad lisaturvalisuse.
• VPN-id VPN-id loovad samuti täiendava privaatsuse kihi, kui kasutajad surfavad veebis, suunates tundlikud andmed läbi privaatse, krüpteeritud kanali. VPN-id on viimasel ajal saavutanud suurt populaarsust, kuna 77% tarbijatest kasutab VPN-i oma privaatsete andmete kaitsmiseks internetis. Ettevõtete jaoks on kasutamisvõimalused sarnaselt paljutõotavad ja arusaamine, kuidas seda õigesti seadistada, on tundlikke andmeid käitlevate töötajate jaoks võtmetähtsusega.
• DNS-kaitse DNS-vahendid piiravad veebisaitide tüüpe, millele töötajad saavad veebiotsingu ajal juurdepääsu, sõeludes ennetavalt välja veebisaidid, millel on suur risk pahavara nakatumiseks. Teadmine, et need tööriistad on olemas ja miks, annab töötajatele teada, et kui nad süsteemist välja lülituvad, on veebileht, millele nad üritasid ligi pääseda, kõige parem eemal hoida.
• Zero Trust Networks Zero Trust Networks ühendab endas range identiteedi kontrollimise ja piiratud juurdepääsu ettevõtte andmetele. Mõistmine, miks need kontrollid on kehtestatud (ja mõnel juhul ka nende seadistamine), aitab töötajatel eristada tundlikke andmeid ja avalikult jagatavat teavet, hoides andmete privaatsust esiplaanil.

Loomulikult peavad sellised kursused sisaldama ka algkursusi kõige levinumate küberrünnakute vormide, nagu andmepüük, sotsiaalne insenerlus, lunavara ja toorestele rünnakutele. Kui astuda sammu edasi, siis antakse töötajatele teadmised sellest, millised lahendused on olemas, kuidas need toimivad ja miks need on vajalikud. See strateegia valmistab töötajaid ette nende lahenduste kasutamiseks, nende haavatavuste vältimiseks ja teie andmete valvsaks kaitsmiseks mitmest küljest.

Edu mõõtmine

Kui olete tõstnud teadlikkust ja loonud tehnoloogiakoolitusprogrammi, peate seejärel suutma saada kõrgetasemelist ülevaadet meeskonnaliikmete edusammudest. Enne nende algatuste käivitamist on ülioluline määrata KPI-d, sest te tahate teada, kas teie algatused valmistavad teie meeskondi asjakohaselt ette.

Unsplash

Testimine on üks element, mida saate kasutada; teiste elementide hulka kuuluvad paranduste vastuvõtmise jälgimine, tundlikele andmetele juurdepääsu jälgimine ja regulaarsete kontrollkäikude korraldamine meeskonnaliikmetega, kes ei ole kohanemisega nii hästi hakkama saanud. Aruandlus küberründe katsete kohta (ja kuidas teie meeskonnaliikmed nendega toime tulid) võib samuti olla kasulik, sest see võimaldab teil tuvastada oma praeguste protsesside haavatavused ja neid vastavalt ümber hinnata.

Pea meeles: sa oled ainult nii tugev kui su nõrgim lüli. Hoidke silma peal, veenduge, et koolitus on pidev ja uurige korrapäraselt uusimaid küberturbeohte, ja te hoiate oma tundlikud andmed nii salajas kui ka turvaliselt.