top of page

Security Awareness Trainings - uradite sami ili automatizujte?

Oct 25, 2022

Prema Verizonovom Izveštaju o istrazi povrede podataka za 2022., ljudski element ostaje vodeći uzrok, s 82% povreda koje uključuju upotrebu ukradenih kredencijala i krađu identiteta, ili, ponekad, zloupotrebu zaposlenih i ljudsku grešku.

Tehnike društvenog inženjeringa kao što je phishing su najprofitabilniji način za napadače da prodru u mreže i aplikacije organizacija, tako da nije ni čudo da su ovi napadi rekordno visoki.


S druge strane, tehnologija poput filtriranja e-pošte nije savršena i svi znamo da će ponekad propasti, posebno imajući u vidu brzinu kojom napadači inoviraju i pronalaze nove načine za prevaru zaposlenih.


Kako ljudi nastavjaju da igraju veliku ulogu kod povrede podataka, iznenađujuće je da su inicijative za obuku svesti o bezbednosti (eng. Security Awareness Trainings - SAT) još uvek naknadno razmišljane u većini IT odeljenja. Zašto je to tako?


Tradicionalni način implementacije SAT inicijativa uključuje manualnu obuku na „uradi sam“ način. To znači da sami sprovodite i snimate obuku ili koristite alate za video konferencije. Međutim, kako se pojavljuju obrasci napada i nove tehnike phishinga, mnoge organizacije smatraju da obuku treba stalno ažurirati i osvežavati. Međutim, opterećivanje zaposlenih dugim ili ponavljajućim treninzima jednostavno nije opcija.

Štaviše, kako se novi zaposleni pridružuju kompaniji, ključno je da i oni prođu odgovarajuću obuku.


Da bi se postigao bar neki efekat, izvođenje takve obuke ubrzo postaje vremenski intenzivno, skupo i zamorno i za trenere i za učesnike. Malo će organizacija pronaći resurse (uključujući veme) za kontinuiranu obuku. Ishod: SAT je ili napušten ili potpuno neefikasan.


Ovo možda objašnjava zašto će većina IT odeljenja favorizovati tehnološka rešenja u odnosu na obuku, nadajući se da će filtriranje e-pošte i drugi bezbednosni alati učiniti trik.


U stvari, SAT obuke mogu biti i tehnološko rešenje: mogu biti podržani SAT softverom integrisanim u svakodnevnu rutinu zaposlenih. Rešenja dobavljača, kao što je Proofpoint, nude niz funkcionalnosti koje automatizuju isporuku obuke, na kraju poboljšavajući sposobnost zaposlenih da izdrže napade socijalnog inženjeringa. Na primer:

  • Unapred pripremljene sesije obuke na različitim jezicima isporučene u korisničkom interfejsu koje prati posećenost korisnika, zajedno s integrisanim izvještavanjem.

  • Obezbedite obuku u kratkim, redovnim intervalima: Bezbednosni timovi imaju ograničeno vreme za obuku korisnika, što je izazov pošto zaposleni obavljaju više zadataka, a raspon pažnje se smanjuje. Omogućavanje kraće obuke koju korisnici mogu pohađati u redovnim intervalima ne samo da im olakšava uklapanje te obuke u dnevni raspored rada, već i jača koncepte kako ljudi ne bi zaboravili ono što su naučili tokom vremena.

  • Isporučite "simulacije" krađe identiteta zaposlenicima i pratite stope klikova i interakcija, dok koristite priliku za jačanje pozitivnog ponašanja kroz učenje.

  • Obezbedite jasne izveštaje i metriku: Da biste bili sigurni da je vaš program podizanja svesti o bezbednosti uspešan, bezbednosni timovi moraju redovno da obučavaju korisnike da promene svoje ponašanje i postanu prava i jaka linija odbrane.

  • Olakšajte korisnicima da prijave zlonamerne ili sumnjive poruke preko postojećih aplikacija kao što je Outlook.

Da li manje klikćemo na phishing veze? Da!






Latest news

Logo

Bridge IT d.o.o.
Dugi dol 45
10000 Zagreb
Croatia
VAT ID: 09594538142

Subscribe to Our Newsletter

Thanks for subscribing!

TechInsights.pro - IT security and infrastructure blog | About Us

Bridge IT d.o.o. | Privacy Policy

bottom of page