Dzięki technologii coraz bardziej powiązanej ze wszystkimi aspektami biznesu, CNET @ Work może pomóc - prosumentom małym firmom zatrudniającym mniej niż pięciu pracowników - zacząć.

Zdrowy rozsądek idzie tak daleko i musisz się upewnić, że najlepsze praktyki związane z bezpieczeństwem nie idą jednym uchem, a drugie nie. Oto twój plan ataku.

Jeśli chodzi o cyberbezpieczeństwo, firma programistyczna AutoClerk dba o to, aby jej 25 pracowników wiedziało, że są na linii frontu czegoś podobnego do bitwy na śmierć i życie.

"Jeśli nie zdadzą sobie sprawy z cyberbezpieczeństwa, zanim je zatrudnimy, uświadomimy je" - powiedziała Charlotte Gibb, współwłaścicielka firmy Walnut Creek z Kalifornii, która dostarcza oprogramowanie dla branży hotelarskiej i hotelarskiej. "Nasi klienci często są celem ataków cybernetycznych, więc musimy być bardzo czujni, jeśli chodzi o wpływ na naszych klientów.

Ona powinna. Cyberprzestępcy celują szczególnie w małe firmy. Około 18 procent kampanii phishingowych skierowanych do małych firm w 2011 roku; Od tego czasu liczba ta wzrosła do ponad 43 procent, a phishing stał się obecnie głównym motorem dostarczania ataków ransomware i malware.

Zagrożenia nie ograniczają się do wiadomości phishingowych. Większość naruszeń bezpieczeństwa wynika z nieostrożnych decyzji podejmowanych przez pracowników. Cyberprzestępcy będą próbować infiltrować organizację za pomocą taktyki inżynierii społecznej, aby zdobyć zaufanie pracowników. Mogą też po prostu zostawić zainfekowane dyski flash USB, mając nadzieję, że ktoś je podniesie i podłącza do komputera. Jedną z popularniejszych sztuczek jest kompromis w zakresie poczty biznesowej, w którym oszuści atakują pracowników, którzy mają dostęp do finansów firmy, aby oszukać je w przesyłaniu przelewów bankowych na fałszywe konta bankowe.

Wszyscy mogą siać spustoszenie. Według amerykańskiego National Cyber ​​Security Alliance około 60 procent małych firm nie jest w stanie utrzymać swojej działalności dłużej niż sześć miesięcy po ataku cybernetycznym.

Zwalczanie zagrożenia zależy od przekonania pracowników do wprowadzenia w życie tego, czego ich nauczono na temat cyberbezpieczeństwa. Nawet wtedy nadal nie ma gwarancji, że pracownicy zrobią to, co trzeba.

"Jeśli nie chcesz, aby twoje miejsce pracy było niewygodne i wieszać kogoś na ramieniu, tak naprawdę nie wiesz" - powiedział Gibb. "Zasadniczo musisz zaufać swoim pracownikom. W pewnym momencie musisz mieć zaufanie do osób, które zatrudniłeś, ponieważ powierzasz im klientów i ważne informacje".

Sprawia, że ​​wiadomość się trzyma

Jest to popularny - i dokładny - stereotyp w branży bezpieczeństwa, że ​​pracownicy stanowią pierwszą linię obrony firmy przed złośliwymi lub przestępczymi działaniami. I dlatego ważne jest, aby głosić ewangelię, dopóki najlepsze praktyki dotyczące cyberbezpieczeństwa staną się drugą naturą dla waszych ludzi.

Edukacja jest kluczem do nauczenia pracowników wspólnego poczucia odpowiedzialności za dane, z którymi pracują. Każda kampania powinna stać się częścią trwającego procesu. Podczas gdy niektóre małe firmy mogą odczuwać brak zasobów, istnieją sposoby na skiero- wanie skutecznej kampanii edukacyjnej na temat bezpieczeństwa cybernetycznego bez rozbijania banku.

● Nie wybieraj taktyki przestraszenia. Celem jest budowanie kultury świadomości cybernetycznej, więc traktuj świadomość bezpieczeństwa jak kampanię marketingową z zamiarem przekonania.

● Zacznij mały z kilkoma filmami lub infografikami, aby zacząć. Obejmują plakaty, konkursy i inne przypomnienia, dzięki którym mogą łatwo dotrzeć do domu. Łatwość zrozumienia: bezpieczeństwo jest osobistą odpowiedzialnością każdego.

● Nie marnuj czasu na wysyłanie długich notatek, które zostaną zignorowane. Zachowaj spokój, krótko. Próbujesz pouczyć pracowników o najlepszych praktykach, nie zmuszając ich do zjedzenia szpinaku. Gdy wszyscy mogą się dobrze bawić, mogą się uczyć w tym samym czasie.

● Promuj temat dzięki kwartalnym kampaniom śledzącym, które podkreślają świadomość cyberbezpieczeństwa. Kontynuuj szkolenie, sprawdzając, w jakim stopniu lekcja została opanowana. Wysyłaj okazjonalnie fałszywe e-maile phishingowe, aby sprawdzić, ilu pracowników wciąż nie rozpoznaje zagrożenia.

Zmiana zachowania pracowników może wydawać się trudnym zadaniem. Ale nawet jeśli nie możesz wyeliminować wszystkich cyberataków przeciwko organizacji, nadal możesz stworzyć warunki, które pomogą zmniejszyć zagrożenie. Jeśli pracownicy odejdą od programu z poważniejszym uznaniem podstawowej cyberbezpieczeństwa, to już jest postęp w łopatach.

Marchewki i kije

"Naruszenie bezpieczeństwa może zniszczyć naszą reputację i może zbankrutować firmę" - mówi David Cox, dyrektor generalny LiquidVPN, dostawcy VPN w Cheyenne w stanie Wyoming.

Jest to trzeźwy scenariusz i dlatego wprowadza stałą mieszankę marchewek i patyczków, aby utrzymać swój personel "na palcach". Na przykład, Cox okresowo upuszcza urządzenie do iniekcji naciśnięcia klawisza, przebrane za pamięć USB w hallu, łazience lub holu. "Jeśli ktoś podłącza go do jednej z naszych stacji roboczych, otrzymuję raport zawierający jego konto użytkownika i identyfikator urządzenia" - powiedział.

Kontraktuje także usługę innej firmy, która specjalizuje się w fałszywych atakach phishingowych i złośliwych programach. Jeśli ktoś nie przejdzie testu lub zostanie trafiony przez prawdziwy atak, zostaje odsunięty na bok i przeprowadza rozmowę, aby dowiedzieć się, dlaczego się to udało.

"Staramy się pokazać, co może się stać, jeśli nie poważnie podchodzą do cyberbezpieczeństwa i nagradzam pracowników proaktywnych" - twierdzi Cox.

Jednocześnie, jeśli pracownik robi coś wyjątkowego lub w jakiś sposób demonstruje wysoki poziom świadomości sytuacyjnej, zostaje nagrodzony biletami do gry, obiadem dla dwóch osób lub bonem podarunkowym Amazon.

Ostatecznie jednak stawka jest zbyt wysoka, aby słabe wyniki cyberbezpieczeństwa były utrzymywane w nieskończoność.

"Zapewniamy pracownikom odpowiednie przeszkolenie i jeśli nie są w stanie wykazać świadomości sytuacyjnej, jakiej wymaga nasza branża, nie będę miał innego wyboru, jak pozwolić im odejść" - powiedział. "To się jeszcze nie wydarzyło i mam szczerą nadzieję, że tak się nie stanie."