Risker för anställda: Hur man skapar ett säkert IT-beteende
Från striktare policyer till mer frekventa tester har vi beskrivit hur du kan hålla dina medarbetare uppdaterade inom cybersäkerhet.
Inget företag är undantaget från mänskliga fel. Oavsett om du är advokat, lärare, ekonom eller annan yrkesgrupp – vi är alla mottagliga för misstag. Men anställdas misstag (även känt som insiderhot) kan leda till allvarliga dataintrång, med skadliga återverkningar på både verksamheten och potentiellt de kunder du betjänar.
Lyckligtvis har vi de flesta av oss tillgång till den senaste tekniken, som, givet att den är korrekt konfigurerad, erbjuder extra lager av försvar till vår säkerhetsställning. Men förutom tekniken bör små och medelstora företag tänka på hur utbildade personalen är när det gäller cybersäkerhetsrisker – och förstärka ett säkert IT-beteende när det är möjligt. Vi undersökte 5 770 IT-beslutsfattare från små och medelstora företag i hela Europa, och en tredjedel (28 %) angav brist på kunskap eller utbildning hos de anställda som en orsak till ökad IT-säkerhetsoro.
Innan vi går in på hur du kan förstärka ett säkert IT-beteende hos dina medarbetare ska vi undersöka varför vissa anställda kan vara en mer sannolik kandidat för insiderhot än andra.
Riskskalan för anställda
Dina nuvarande utbildningsrutiner för cybersäkerhet och allmänna medarbetarnas noggrannhet kommer att bidra till ett säkert IT-beteende. Vissa anställda kommer dock att utgöra en större risk. Beslutsfattare kanske inte är lika insatta i företagets säkerhetspolicyer som fast anställda är, och känner därför kanske inte till alla de senaste skyldigheterna. Nyanställda, när de vänjer sig vid flera system eller trålar igenom e-postmeddelanden från avsändare som de ännu inte riktigt har kommit ihåg namnen på, kan bli måltavlor.
Hybridarbete är också en riskfaktor. Är teamen ständigt i rörelse, eller arbetar individer ofta från ett lokalt café? Att ansluta till externa nätverk och arbeta på offentliga platser kan strida mot säkerhetspraxis. Så, hur ser du till att alla inom ditt företag är anpassade och utövar ett säkert IT-beteende?
Bästa tipsen för att förstärka ett säkert IT-beteende
Prioritera utbildning i cybersäkerhet
All personal, från heltidsanställda på kontoret till de som transporterar varor till och från en anläggning, bör bli informerad om risknivåerna. Skadlig kod kan till exempel infiltrera ditt affärssystem för att stänga ner verksamheten – och anställda kanske inte vet att nedladdning av extern programvara kan ge cyberbrottslingar en väg in.
Personal och företagsledare bör veta hur man identifierar nätfiskeattacker. Om en anställd får en plötslig brådskande begäran om personlig information, eller instruktioner om att kontakta avsändaren via telefonsamtal eller snabbmeddelande, bör detta omedelbart väcka misstankar. Företag bör regelbundet utbilda anställda i hur man identifierar och reagerar på dessa incidenter. Inklusive hur man analyserar avsändarens adress eller nummer och automatiskt tar upp det med IT-avdelningar. Utbildningsförfarandena bör också omfatta simuleringstester för nätfiske och skadlig kod, som visar hur lätt en anställd kan bli måltavla och hur mottaglig han eller hon är för en attack.
Utöver nätfiskeattacker bör de säkerhetsutbildningen utforska ämnen som smishing-attacker (vilseledande textmeddelanden), sociala ingenjörsattacker, användning av sociala medier, säker fildelning och säkert surfande på nätet.
Var strikt med dina cybersäkerhetspolicyer
Det är värt att notera att ca 74 % av dataintrången involverar en mänsklig faktor. Och av de IT-chefer som vi undersökte är en tredjedel (30 %) nu mer oroade över säkerhetstekniska risker på grund av hybridarbete. Det är därför viktigare än någonsin att implementera robusta cyberpolicyer, med fast och transparent kommunikation uppifrån och ner.
Detta inkluderar att se till att de anställda vet hur man använder företagets enheter och system på rätt sätt. Oroväckande nog visar vår forskning att tre fjärdedelar (76 %) av små och medelstora företags säkerhetsutbildning inte omfattar användning av en skrivare eller en skanner, trots vikten av att utbilda anställda i hur man använder dessa enheter på ett säkert sätt.
Cybersäkerhetspolicyerna bör också innehålla tydliga instruktioner om användningen av offentliga wifi-nätverk. Detta beror på att osäkra anslutningar kan leda till skadliga attacker med skadlig programvara, och även en anställd som loggar in för att skicka några snabba e-postmeddelanden kan av misstag orsaka skada.
Utöver detta bör din policy uppmuntra anställda att använda företagets VPN och att konfigurera multifaktorautentisering (MFA) för ett extra identifieringslager under inloggningen. Dessutom bör den varna för att komma åt arbetsrelaterade plattformar via personliga enheter och påminna anställda om att aldrig dela lösenord.
Håll dig informerad om de anställdas risker
Inget av ovanstående går att genomföra effektivt om beslutsfattarna och IT-avdelningarna själva inte är välinformerade om de senaste riskerna. Naturligtvis är hot som nyanställda eller de som lämnar företaget ständigt aktuella. Det är dock viktigt att hålla sig informerad om nya hot, till exempel att arbeta med nya konsulter eller anställdas användning av oreglerade appar från tredje part.
Samtidigt bör ledare främja en arbetsmiljö där IT-personal kan utbilda sig i cybersäkerhet. Man bör även uppmuntra anställda att ifrågasätta eller rapportera eventuella säkerhetsproblem. Detta är viktigt eftersom det kan bidra till att sprida allmän medvetenhet om vilka typer av hot man ska se upp för.
Riskmedvetna arbetsstyrkor med stöd av teknik
Din IT-säkerhet är bara så effektiv som dina medarbetare. Företagsledare och IT-proffs bör dock vara mycket uppmärksamma på hur tekniken kan stödja arbetskraften i att förhindra mänskliga fel.
En tredjedel av IT-cheferna är antingen inte särskilt säkra (14 %) eller inte säkra (15 %) på att de anställda har tillräcklig kunskap om IT-säkerhetsrisker. Men så behöver det inte vara. Genom att följa våra tips kan anställda och beslutsfattare utöka sin kunskap om risklandskapet och konsekvenserna av sina handlingar. För ett extra lager av support erbjuder Sharp en omfattande familj av skräddarsydda säkerhetslösningar och tjänster för att skydda små och medelstora företag från mänskliga fel.