fbpx

З якою періодичністю потрібно проводити тренінги з кібербезпеки для співробітників?

З якою періодичністю потрібно проводити тренінги з кібербезпеки для співробітників?

Уявіть: ви щойно провели тренінг для співробітників щодо запобігання спробам фішингу. Ваша команда навчилася ідентифікувати фішингові листи і ви нарешті зітхнули з полегшенням. Аж допоки через 5-6 місяців ваша компанія не зазнала збиткової кібератаки через …відкрите посилання в одному з фішингових листів.

Або, можливо, ви щороку проводите тренінги з тих самих тем, але все одно страждаєте від повторюваних інцидентів і не розумієте, чому це відбувається? Відповідь проста: ви проводите навчання недостатньо часто. Людям важливо закріплювати нові навички аби напрацювати нові звички. До того ж будь-яка інформація забувається протягом лише кількох місяців, якщо регулярно не освіжати її у пам’яті.

Запам’ятайте: тренінги з кібербезпеки рекомендовано проводити кожні 4 місяці.

Звідки ця рекомендація? Нещодавно на конференції USENIX SOUPS було представлено результати дослідження щодо навичок користувачів виявляти фішингові електронні листи в залежності від частоти навчання. У ньому розглядалися тренінги з виявлення фішингу та ІТ-безпеки. Респонденти проходили тести у кілька різних інтервалів часу після проходження відповідного тренінга з кібербезпеки:

  • 4 місяці
  • 6 місяців
  • 8 місяців
  • 10 місяців
  • 12 місяців

Дослідження показало, що через чотири місяці після тренування результати були відмінними. Учасники експерименту точно ідентифікували фішингові електронні листи та уникали їх. Але вже через шість місяців показники почали погіршуватися. Ця тенденція набирала обертів протягом наступних місяців.

Отже, для того, що ваша команда не втрачала навичок та залишалася ефективною у боротьбі зі спробами кібератак, тренінги з кібербезпеки потрібно проводити з належною частотою.

Поради щодо розвитку культури кібербезпеки.

Золотим стандартом, до якого варто прагнути будь-якій компанії, є розвиток культури кібербезпеки: кожен співробітник має усвідомлювати важливість та необхідність захисту конфіденційних даних, а також вміти ідентифікувати спроби фішингу та ефективно дбати про безпеку паролів. Проте, згідно зі звітом Sophos Threat Report 2021, більшість організацій все ще не досягла такого рівня зрілості. Однією з найбільших загроз безпеці корпоративних мереж наразі є відсутність ефективних практик кібербезпеки.

У звіті, зокрема, зазначено: «Неналежна увага до одного чи кількох базових аспектів кібербезпеки виявилася основною причиною найбільш руйнівних хакерських атак, які ми досліджували».

Добре навчені співробітники значно знижують ризики компанії. Разом з тим, якість навчання не залежить від кількості годин, присвячених кібербезпеці. Існують ефективні та цікаві способи засвоїти навички, не витративши на це купу часу. Наприклад,

  • Відео для самостійного ознайомлення, які ви можете надсилати співробітникам раз на місяць
  • Групові дискусії за круглим столом
  • «Поради тижня» щодо кібербезпеки в інформаційних дайджестах компанії або внутрішніх чатах команд
  • Тренінги, які проводять ІТ-фахівці
  • Імітація фішингових листів
  • Постери на тему кібербезпеки
  • Залучення до «Cybersecurity awareness month» – Місяця підвищення обізнаності про кібербезпеку, який щороку проводиться в жовтні.

Фішинг — це вагома та важлива тема, але не єдина. Ось ще кілька аспектів, які не варто оминати увагою під час проведення тренінгів з кібербезпеки.

Фішинг у текстових повідомленнях та соціальних мережах.

Найпоширенішим видом фішингу все ще залишається електронне листування, але SMS-фішинг (або «смішинг») набирає обертів, так само як і фішинг через соціальні мережі. Ваші колеги повинні знати, як виглядають ці спроби шахрайства, щоб вдало їх уникати.

Безпека облікових даних і паролів.

Чимало компаній сьогодні надають перевагу хмарним платформам. Це призвело до різкого зростання кількості крадіжок облікових даних, оскільки це найпростіший спосіб отримати доступ до корпоративних даних, які зберігаються «у хмарі». Крадіжка облікових даних зараз є причиною №1 витоків даних у світовому масштабі. Саме тому ви мусите ретельно обговорювати цю тему з вашою командою. Постійно наголошуйте на необхідності використання надійних

паролів та їх надійного захисту. Крім цього, приділяйте увагу вивченню таких інструментів, як менеджери паролів.

Безпека мобільних пристроїв.

Мобільні пристрої зараз використовуються для більшої частини робочих процесів. Вони зручні для читання електронних листів і відповідей на них, роботи з базовими додатками тощо. Більшість компаній сьогодні навіть не розглядатиме програмне забезпечення, яке не має мобільної версії. Проте масове використання власних мобільних пристроїв відкриває нові горизонти для кібератак. Вчіть свою команду постійно оновлювати мобільні телефони та захищати їх паролями.

Безпека даних.

Кількість нормативних актів, які регулюють конфіденційність особистих даних, зростає щороку, і бізнеси мають відповідати все більш суворим вимогам щодо захисту персональної інформації. Проводьте навчання співробітників щодо базових правил зберігання конфіденційних даних та відповідним процедурам безпеки. Таким чином ви зменшите ризик витоку даних, що, у свою чергу, може спричинити репутаційні ризики та чималі штрафи.

Якщо ви потребуєте професійної допомоги з організації тренінгів з кібербезпеки – зверніться до нас.

Ми допоможемо вашій команді бути в курсі останніх трендів кібербезпеки та тримати хакерів на безпечній відстані.

Виникли питання?

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

БЛОГ

Останні статті