Ingen selskaper er fritatt for menneskelige feil. Enten du er advokat, lærer, økonom eller et annet yrke - vi kan alle feil. Imidlertid kan ansattes feil (også kjent som innsidetrusler) føre til alvorlige databrudd, med skadelige konsekvenser for både virksomheten og potensielt kundene du betjener.
Heldigvis har de fleste av oss tilgang til den nyeste teknologien, som riktig konfigurert, gir ekstra lag med forsvar til vår sikkerhetsstilling. I tillegg til teknologi bør små og mellomstore bedrifter vurdere hvor opplært de ansatte er når det gjelder cybersikkerhetsrisikoer – og forsterke sikker IT-atferd når det er mulig. Vi undersøkte 5 770 IT-beslutningstakere for små og mellomstore bedrifter i Europa, og 28 % oppga mangel på kunnskap eller opplæring blant ansatte som en årsak til økte bekymringer knyttet til IT-sikkerheten.
Før vi dykker inn i hvordan du kan forsterke sikker IT-atferd blant dine ansatte, la oss undersøke hvorfor noen ansatte kan være en mer sannsynlig kandidat for innsidetrusler enn andre.
Ansattes risikoskala
Dine nåværende rutiner for opplæring i cybersikkerhet og generell nøyaktighet blant de ansatte vil bidra til å sikre IT-atferd. Noen ansatte vil imidlertid utgjøre en større risiko. Beslutningstakere er kanskje ikke så kjent med selskapets sikkerhetspolitikk som fast ansatte er, og kan derfor ikke være klar over alle de nyeste forpliktelsene. Nyansatte, når de blir vant til flere systemer eller tråler gjennom e-poster fra avsendere de ikke helt har husket navnene på ennå, kan bli et mål.
Hybridarbeid er også en risikofaktor. Er teamene stadig på farten, eller jobber enkeltpersoner ofte fra en lokal kafé? Tilkobling til eksterne nettverk og arbeid på offentlige steder kan være mot sikkerhetspraksis. Så hvordan sørger du for at alle i bedriften er på lik linje og praktiserer sikker IT-atferd?
De beste tipsene for å styrke sikker IT-atferd
Prioriter opplæring i cybersikkerhet
Alle ansatte, fra heltidsansatte på kontoret til de som transporterer varer til og fra et anlegg, skal informeres om risikonivået. For eksempel kan skadelig programvare infiltrere forretningssystemet til å stenge driften – og ansatte vet kanskje ikke at nedlasting av ekstern programvare kan gi nettkriminelle en vei inn.
Ansatte og bedriftsledere bør vite hvordan de identifiserer phishing-angrep. Hvis en ansatt mottar en plutselig presserende forespørsel om personlig informasjon, eller instruksjoner om å kontakte avsenderen via telefonsamtale eller direktemelding, bør dette umiddelbart vekke mistanke. Bedrifter bør regelmessig trene ansatte på hvordan de skal identifisere og reagere på disse hendelsene. Inkludert hvordan du analyserer avsenderens adresse eller telefonnummer og automatisk tar det opp med IT-avdelinger. Opplæringsprosedyrer bør også omfatte simuleringstester for phishing og skadelig programvare, som viser hvor lett ansatte kan bli målrettet utsatt for et angrep.
I tillegg til phishing-angrep bør sikkerhetsopplæringen utforske emner som smishing-angrep (villedende tekstmeldinger), sosial manipulering-angrep, bruk av sosiale medier, sikker fildeling og sikker nettsurfing.
Vær streng med retningslinjene dine for cybersikkerhet
Det er verdt å merke seg at omtrent 74% av datainnbrudd involverer menneskelige feil. IT-sjefene som var med i undersøkelsen, svarer 30 % at de er mer bekymret for sikkerhetsrisikoer på grunn av hybridarbeid. Det er derfor viktigere enn noensinne å implementere robuste cyberpolitikker, med fast og gjennomsiktig kommunikasjon ovenfra og ned.
Dette inkluderer å sikre at ansatte vet hvordan de skal bruke selskapets enheter og systemer riktig. Det er bekymringsfullt at forskningen vår viser at 76 % av sikkerhetsopplæringen til små og mellomstore bedrifter ikke involverer bruk av skrivere eller skanner, til tross for viktigheten av å lære opp ansatte i hvordan de skal bruke disse enhetene på en sikker måte.
Retningslinjer for cybersikkerhet bør også inneholde klare instruksjoner om bruk av offentlige Wi-Fi-nettverk. Dette er fordi usikre tilkoblinger kan føre til ondsinnede angrep på skadelig programvare, til og med en ansatt som logger seg på for å sende noen få raske e-postmeldinger, kan ved et uhell forårsake skade.
I tillegg til dette bør retningslinjene dine oppmuntre ansatte til å bruke selskapets VPN og sette opp flerfaktorautentisering (MFA) for et ekstra lag med identifikasjon under pålogging. I tillegg bør den advare mot å få tilgang til arbeidsrelaterte plattformer via personlige enheter og minne ansatte om aldri å dele passord.
Hold deg informert om ansattes risikoer
Ingen av de ovennevnte kan implementeres effektivt hvis beslutningstakere og IT-avdelinger selv ikke er godt informert om de nyeste risikoene. Selvfølgelig er trusler som nyansatte eller de som forlater selskapet stadig relevante. Det er imidlertid viktig å holde seg informert om nye trusler, for eksempel å jobbe med nye konsulenter eller ansattes bruk av uregulerte tredjepartsapper.
Samtidig bør ledere fremme et arbeidsmiljø der IT-ansatte kan få opplæring i cybersikkerhet. Ansatte bør også oppfordres til å stille spørsmål eller rapportere eventuelle sikkerhetsproblemer. Dette er viktig fordi det kan bidra til å spre offentlig bevissthet om hvilke typer trusler du må passe på.
Risikobevisste, teknologistøttede arbeidsstyrker
IT-sikkerheten din er bare så effektiv som dine ansatte. Bedriftsledere og IT-fagfolk bør imidlertid være oppmerksomme på hvordan teknologi kan støtte arbeidsstyrken i å forhindre menneskelige feil.
En tredjedel av IT-sjefene er ikke sikre (15 %) på at ansatte har tilstrekkelig kunnskap om IT-sikkerhetsrisikoer. Men det trenger ikke å være slik. Ved å følge våre tips kan ansatte og beslutningstakere utvide sin kunnskap om risikolandskapet og konsekvensene av deres handlinger. For et ekstra lag med støtte tilbyr Sharp omfattende og skreddersydde sikkerhetsløsninger og tjenester for å beskytte små og mellomstore bedrifter mot menneskelige feil.
Utforsk Sharps sikkerhetstjenester og -løsninger