Najveći dio napada na MSP kompanije odlazi na napade za koje su direktno ili indirektno krivci zaposleni u kompaniji. Procenat IT napada izazvanih od strane zaposlenih može varirati u zavisnosti od industrije, veličine kompanije i drugih faktora. Međutim, studije su pokazale da su zaposleni često najslabija karika u lancu kibernetičke sigurnosti, a značajan postotak IT napada može se pripisati postupcima ili greškama zaposlenika.
Prema Globalnom izvještaju o troškovima insajderskih prijetnji za 2021. Ponemon Institute i IBM Security, prosječni trošak insajderskih prijetnji uzrokovanih od strane zaposlenika ili izvođača bio je 3,86 miliona dolara po organizaciji. U izvještaju je utvrđeno da su 62% insajderskih prijetnji izazvali zaposleni, dok su 23% izazvali izvođači, a 14% zlonamjerni insajderi.
Drugi izvještaj Shred-it, kompanije za uništavanje podataka, otkrio je da 47% anketiranih poslovnih lidera vjeruje da su ljudska greška ili slučajni gubitak od strane zaposlenih uzrok najveće povrede podataka u njihovoj kompaniji.
U današnjem digitalnom dobu, mala i srednja preduzeća suočavaju se sa sve većim brojem prijetnji IT sigurnosti. Sajber kriminalci stalno pronalaze nove načine da iskoriste ranjivosti u IT sistemima Vaše kompanije. Iako je ulaganje u robusna rješenja za sajber sigurnost od suštinskog značaja, jednako je važno osigurati da su Vaši zaposlenici svjesni rizika i najboljih praksi za IT sigurnost. U ovom članku ćemo razgovarati o tome kako svijest zaposlenih o IT sigurnosti može utjecati na IT sigurnost malih i srednjih preduzeća i koje korake možete poduzeti da je poboljšate.
Identifikacija sajber prijetnji: Zaposleni koji su svjesni rizika kibernetičke sigurnosti vjerovatnije će identificirati potencijalne sajber prijetnje. Mogu prepoznati sumnjive e-poruke, web stranice ili aplikacije i prijaviti ih IT timu. Ovo može pomoći IT timu da preduzme proaktivne mjere kako bi spriječio sajber napad prije nego što se dogodi.
Implementacija najboljih praksi: Zaposleni koji dobro razumiju najbolje prakse IT sigurnosti će ih vjerovatnije slijediti. Na primjer, koristit će jake lozinke, izbjegavati klikanje na sumnjive veze i odmah prijaviti sve sigurnosne incidente. Ovo može pomoći u sprječavanju sajber napada i smanjenju utjecaja bilo kakvog kršenja sigurnosti.
Izbjegavanje ljudske greške: Ljudska greška je jedan od vodećih uzroka kršenja sigurnosti u malim i srednjim preduzećima. Zaposleni koji nisu svjesni IT sigurnosnih rizika vjerovatnije će napraviti greške koje mogu ugroziti podatke Vaše kompanije. Edukacijom zaposlenih o rizicima i kako ih izbjeći, možete smanjiti šanse da ljudska greška dovede do kršenja sigurnosti.
Njegovanje bezbjednosne kulture: Svijest zaposlenih o IT bezbjednosti može doprinijeti kulturi bezbjednosti unutar organizacije. Kultura sigurnosti je ona u kojoj zaposleni shvaćaju IT sigurnost ozbiljno i razumiju svoju ulogu u zaštiti podataka kompanije. To može dovesti do višeg nivoa ukupne IT sigurnosti Vašeg poslovanja.
Kako bi poboljšali svijest zaposlenih o IT sigurnosti, mala i srednja preduzeća mogu poduzeti nekoliko koraka.
– Redovne obuke o IT sigurnosnim rizicima i najboljim praksama mogu pomoći zaposlenima da budu u toku sa najnovijim prijetnjama i metodama za njihovo sprječavanje.
– Sprovođenje simuliranih phishing napada ili drugih sigurnosnih incidenata također može pomoći zaposlenima da shvate važnost IT sigurnosti i utjecaja ljudske greške.
– Osim toga, pružanje zaposlenima jasne IT sigurnosne politike može im pomoći da shvate svoje odgovornosti i posljedice neusklađenosti.
Ove edukacije zaposlenika bi trebalo da podrazumijevaju obuku u sljedećim oblastima:
1. Upravljanje lozinkama: Slabe lozinke ili ponovno korištene lozinke predstavljaju značajan sigurnosni rizik. Zaposlene treba educirati o važnosti jakih lozinki i potrebi da ih redovno mijenjaju. Ohrabrite ih da koriste alat za upravljanje lozinkama i omoguće dvofaktorsku autentifikaciju gdje god je to moguće. Također je bitno osigurati da zaposleni ne zapisuju lozinke niti ih dijele ni sa kim.
2. Prevare za krađu identiteta: phishing je tehnika koju prevaranti koriste za krađu osjetljivih informacija. Zaposleni bi trebali biti obučeni da prepoznaju phishing e-poruke i ne klikaju na linkove ili priloge nepoznatih pošiljatelja. Podsjetite ih da traže sumnjive znakove kao što su nepravilan pravopis, loša gramatika i osjećaj hitnosti. Phishing e-poruke često stvaraju osjećaj hitnosti da se ljudi prevare da daju svoje informacije.
3. Sigurnost uređaja: Zaposleni mogu koristiti lične uređaje poput prijenosnih računala, pametnih telefona ili tableta za poslove vezane za posao, što sigurnost uređaja čini značajnom brigom. Osigurajte da zaposleni instaliraju sigurnosni softver na svoje uređaje i redovno ih ažuriraju. Također, podsjetite ih da se ne povezuju na nezaštićene javne Wi-Fi mreže jer mogu predstavljati ozbiljnu prijetnju.
4. Društveni inženjering: Socijalni inženjering je upotreba psihološke manipulacije kako bi se zaposleni prevarili da odaju osjetljive informacije. Zaposlenici bi trebali biti obučeni da prepoznaju taktike socijalnog inženjeringa kao što su izgovor, mamac ili mamljenje. Treba ih potaknuti da ispitaju sve neobične zahtjeve ili da ih provjere prije nego što podijele bilo kakve osjetljive informacije.
5. Zaštita podataka: Zaposlene treba educirati o važnosti zaštite podataka kompanije. Ovo uključuje osiguranje fizičkih dokumenata, ne ostavljajući osjetljive podatke na ekranima i osiguravanje da su podaci šifrirani gdje god je to moguće. Također, osigurajte da su zaposleni upoznati sa politikom čuvanja podataka kompanije i da ih se pridržavaju.
6. Pristup sistemu: Samo ovlašteno osoblje treba da ima pristup sistemima i podacima kompanije. Osigurajte da zaposleni razumiju svoje nivoe pristupa i da im se ne daje više pristupa nego što je potrebno. Sprovedite redovne revizije kako biste osigurali da je pristup ograničen na odgovarajuće osoblje.
U zaključku, svijest zaposlenih o IT sigurnosti igra ključnu ulogu u IT sigurnosti malih i srednjih preduzeća. Edukacijom zaposlenih o rizicima i najboljim praksama, mala i srednja preduzeća mogu smanjiti šanse za narušavanje sigurnosti i kultivirati kulturu sigurnosti unutar svoje organizacije.
Upamtite, ulaganje u rješenja za kibernetičku sigurnost je važno, ali je jednako važno ulagati u informatičku sigurnost vaših zaposlenika.
