Come convincere il personale a prendere sul serio la sicurezza informatica

Con la tecnologia sempre più intrecciata con tutti gli aspetti del business, CNET @ Work può aiutarti - prosumer alle piccole imprese con meno di cinque dipendenti - per iniziare.

Il buon senso va solo lontano e devi assicurarti che le migliori pratiche in materia di sicurezza non vadano da un orecchio all'altro. Ecco il tuo piano d'attacco.

Quando si parla di sicurezza informatica, la società di software AutoClerk fa in modo che i suoi 25 dipendenti sappiano di essere in prima linea in qualcosa di simile a una battaglia di vita o di morte.

"Se non sono a conoscenza della sicurezza informatica prima di assumerli, li renderemo consapevoli", ha detto Charlotte Gibb, comproprietaria dello sviluppatore di Walnut Creek, California, che fornisce software per l'industria alberghiera e alberghiera. "I nostri clienti sono spesso bersagli degli attacchi informatici e quindi dobbiamo essere molto attenti su come ciò potrebbe influenzare i nostri clienti. Prendiamo molto sul serio la sicurezza informatica".

Lei dovrebbe. I criminali informatici stanno prendendo di mira speciali le piccole imprese. Circa il 18 percento delle campagne di phishing ha riguardato le piccole imprese nel 2011; da allora il numero è salito a oltre il 43 percento del totale con il phishing, ora il principale veicolo per la distribuzione di ransomware e attacchi di malware.

Le minacce non sono limitate alle e-mail di phishing. La maggior parte delle violazioni della sicurezza derivano da decisioni imprudenti dei dipendenti. I criminali informatici cercheranno di infiltrarsi in un'organizzazione utilizzando le tattiche di social engineering per ottenere la fiducia dei dipendenti. Oppure potrebbero semplicemente andarsene attorno alle unità flash USB infette, sperando che qualcuno ne raccolga una e la inserisca nel loro computer. Uno stratagemma recentemente popolare è il compromesso della posta elettronica aziendale in cui i truffatori prendono di mira i dipendenti che hanno accesso alle finanze aziendali per ingannarli nell'invio di bonifici su conti bancari falsi.

Tutto può devastare. Secondo il National Cyber ​​Security Alliance, circa il 60% delle piccole imprese non è in grado di mantenere la propria attività oltre sei mesi dopo aver subito un attacco informatico.

Riprendere la minaccia dipende dal convincere i dipendenti a mettere in pratica ciò che viene insegnato sulla sicurezza informatica. Anche allora, non ci sono ancora garanzie che i dipendenti faranno la cosa giusta.

"A meno che tu non sia disposto a rendere il tuo posto di lavoro a disagio e ad aggrapparti alle spalle di qualcuno, non lo sai", ha detto Gibb. "Devi fondamentalmente fidarti dei tuoi dipendenti: ad un certo punto, devi avere un livello di fiducia con le persone che hai assunto perché li affidi ai tuoi clienti e alle tue informazioni critiche".

Rendere il messaggio bastone

È un noto, e preciso, cliché nel settore della sicurezza che i dipendenti costituiscono la prima linea di difesa dell'azienda contro attività criminali o criminali. Ed è per questo che è essenziale continuare a predicare il Vangelo fino a quando le migliori pratiche in materia di sicurezza informatica diventeranno una seconda natura per il tuo popolo.

L'istruzione è la chiave per insegnare ai dipendenti un senso condiviso di responsabilità per i dati con cui lavorano. Qualsiasi campagna dovrebbe diventare parte di un processo in corso. Mentre alcune piccole imprese possono ritenere di non avere risorse, ci sono modi per dirigere un'efficace campagna di educazione alla cibersicurezza senza rompere la banca.

● Non optare per tattiche intimidatorie. L'obiettivo è quello di costruire una cultura della cyber awareness, in modo da trattare la consapevolezza della sicurezza come una campagna di marketing con l'intento di persuadere.

● Inizia in piccolo con alcuni video o infografiche per dare il via alle cose. Includere poster, concorsi e altri promemoria per portare a casa un messaggio di facile comprensione: la sicurezza è responsabilità personale di tutti.

● Non perdere tempo a inviare lunghi memo che verranno ignorati. Tienilo divertente, tienilo breve. Stai cercando di educare i dipendenti sulle migliori pratiche, non costringendole a mangiare i loro spinaci. Quando tutti possono ridere, possono anche imparare allo stesso tempo.

● Promuovere il tema con campagne trimestrali di follow-up che sottolineano la consapevolezza della sicurezza informatica. Segui l'allenamento testando quanto bene è stata appresa la lezione. Invia email occasionali di phishing phishing per verificare quanti dipendenti non riescono ancora a riconoscere la minaccia.

Cambiare il comportamento dei dipendenti può sembrare un compito scoraggiante. Ma anche se non è possibile eliminare tutti gli attacchi informatici contro l'organizzazione, è comunque possibile promuovere condizioni che contribuiscano a ridurre la minaccia. Se i dipendenti si allontanano dal programma con un apprezzamento più serio della cybersecurity di base, questo è già un passo avanti.

Carote e bastoncini

"Una violazione della sicurezza distruggerebbe la nostra reputazione e potrebbe mandare in bancarotta l'azienda", afferma David Cox, CEO di LiquidVPN, un fornitore di VPN a Cheyenne, nel Wyoming.

È uno scenario che fa riflettere ed è per questo che usa un costante mix di carote e bastoncini per tenere il suo staff "in pugno". Ad esempio, Cox rilascia periodicamente un dispositivo per l'iniezione di un tasto mascherato da una chiavetta USB in un corridoio, in un bagno o nella hall. "Se qualcuno lo collega a una delle nostre workstation, ottengo un rapporto che contiene il loro account utente e l'ID del dispositivo", ha affermato.

Contratta anche un servizio di terze parti specializzato in falsi attacchi di phishing e malware. Se qualcuno fallisce un test o viene colpito da un attacco reale, viene messo da parte e intervistato per capire perché ha avuto successo.

"Cerchiamo di dimostrare cosa potrebbe accadere se non prendono seriamente la sicurezza informatica e premiano i dipendenti che sono proattivi", secondo Cox.

Allo stesso tempo, se un dipendente fa qualcosa di eccezionale o dimostra in qualche modo un alto livello di consapevolezza della situazione, viene premiato con biglietti per un gioco, cena per due o un buono regalo Amazon.

Ma alla fine, la posta in gioco è troppo alta per lasciare che la scarsa performance della sicurezza informatica continui indefinitamente.

"Diamo ai dipendenti una formazione adeguata e se non sono in grado di dimostrare il tipo di consapevolezza della situazione che il nostro settore richiede, non avrei altra scelta che lasciarli andare", ha detto. "Non è ancora successo, e sinceramente spero che non succeda."

Messaggi Popolari

Cos'è l'ampia gamma di colori (WCG)?

Tre modi per spostarsi a sinistra sul commutatore di attività

Andare a mani libere con Moto X e i nuovi smartphone Droid

Questo consiglio di cucina può far risparmiare denaro sulla tua bolletta

Accedi alla musica memorizzata su OneDrive utilizzando Xbox Music

5 trucchi di spedizione Amazon per le persone che non possono permettersi Prime

 

Lascia Il Tuo Commento