Cercetările noastre și ale altora din industrie au arătat, în mod repetat, că cele mai multe incidente de securitate cibernetică dintr-o companie sunt cauzate de acțiunile angajaților – peste 80%, după cum reiese din datele noastre. Fie că cineva deschide un e-mail de phishing, nu își schimbă parola periodic sau instalează aplicații dubioase pe telefon, lasă atacatorilor cibernetici – de cele mai multe ori, fără să vrea – o poartă larg deschisă în rețea.
Și mai îngrijorător este faptul că o breșă de date nu înseamnă doar pierderi financiare și afectarea reputației companiei respective. Ea are efecte concrete și în rândul angajaților care au expus datele firmei sau ale clienților: anul trecut, într-o treime dintre cazuri au existat persoane care și-au pierdut locul de muncă. Majoritatea lor nu aveau legătură cu domeniul IT.
De aceea, noi considerăm că, pe lângă o soluție de securitate eficientă și adaptată profilului companiei, este foarte importantă conștientizarea importanței amenințărilor cibernetice în rândul angajaților. Ca regulă generală, conștientizarea ar trebui să fie un efort permanent de educare a angajaților asupra politicilor de securitate ale companiei și asupra amenințărilor cibernetice, împreună cu modalitățile de protecție. Tehnicile de inginerie socială continuă să aibă o rată de succes foarte mare, așa că reprezentanții companiilor ar trebui să le acorde o atenție sporită.
În funcție de dimensiunile și specificul companiei, noi folosim mai multe metode de training în domeniul securității cibernetice: față în față, cu instructor – pentru echipele IT ale organizației și online – pentru ceilalți angajați sau o îmbinare a celor două metode. Trainerii se bazează pe multe povești și exemple din experiența lor și, în același timp, vor să afle care este perspectiva participanților: cu se probleme s-au confruntat, cum au reacționat, ce vor să știe. Astfel, sesiunile de training devin interactive și interesante.
Produsele din gama Kaspersky Security Awareness oferă suportul necesar companiilor care vor să-și îmbunătățească defensiva, reducând până aproape de zero riscurile într-una dintre cele mai vulnerabile zone, cea a angajaților. Bazate pe cele mai eficiente metode: gamefication, abordarea practică și repetiția periodică, pentru fixarea cunoștințelor, ele pot fi aplicate la toate nivelurile organizației.
Platformele noastre online de instruire a personalului din companii sunt construite astfel încât să nu se încadreze în tipicul training-ului plictisitor la care toată lumea își verifică e-mail-ul și de-abia așteaptă să se termine. Sunt 25 de module, care acoperă tot ce ar avea nevoie să știe cineva care nu lucrează în departamentul de IT. De exemplu, modulele includ informații despre protecția dispozitivelor mobile, a mail-ului, despre parole, GDPR sau protecție anti-ransomware. Testările sunt făcute în mai multe etape și angajații pot avea surpriza să primească un e-mail de „phishing”. Dacă vor cădea în capcană, vor fi anunțați că, de data aceasta a fost doar o probă, însă data viitoare ar putea fi un pericol real, care să afecteze întreaga rețea a companiei.
Secretul succesului unui program de securitate IT sunt constanța și evaluarea. La fel ca într-o dietă sau ca în performanța sportivă, nimic nu se schimbă peste noapte sau după un efort de două-trei săptămâni: pentru rezultate notabile, este nevoie de o schimbare a stilului de viață. În cazul companiilor, este necesară o regândire a securității cibernetice: nu poate fi ceva de care să te ocupi o dată pe an și să ai rezultatele dorite, ci este un efort continuu. Cât despre evaluare, sunt două aspecte: în primul rând, evaluarea cunoștințelor angajaților, apoi a programului de securitate cibernetică: există elemente care au mers mai bine decât altele, ce a funcționat, ce poate fi îmbunătățit? Companiile care reușesc să creeze o cultură a securității cibernetice, unde angajații se simt responsabili de acțiunile lor și aplică, pe termen lung, practicile învățate sunt cele câștigătoare.