usecure Blog

12 olennaista turvatietoisuuskoulutuksen aihetta vuodelle 2021

Kirjoittanut Micke Ahola | 24 elokuuta 2021 10:34

Vuonna 2021 on entistäkin tärkeämpää kouluttaa loppukäyttäjiä parhaista kyberturvallisuuskäytännöistä työpaikoilla. Alla on lueteltu 12 aihealuetta, joihin kannattaa kiinnittää huomiota. Kun digitaaliset uhat ovat yhä kehittyneempiä, digitaalisen työvoiman kouluttaminen parhaista kyberturvallisuuskäytännöistä on tehokkain tapa säästää aikaa ja estää tietoturvaloukkaukset.

Vuonna 2020 saavutettiin paljon vaikeista olosuhteista huolimatta. Ilmeisintä oli se, miten ihmiset ja yritykset sopeutuivat etätyöympäristöihin. Tämä toi mukanaan valtavia haasteita. Riskit, kuten tietojenkalastelu, haittaohjelmat ja tietojen turvallisesti tallentaminen korostuivat, ja lisäksi hakkerit käyttivät aiempaa aggressiivisempia taktiikoita.

Tämän vuoksi olemme päivittäneet 12 aiheen luettelon, joita kannattaa seurata vuonna 2021.

Mitä turvallisuustietoisuuteen liittyviä aiheita kannattaa sisällyttää?

Useimmat yritykset käyttävät paljon aikaa ja rahaa ohjelmistojen käyttöönottoon tietoturvatietojensa suojaamiseksi, ja tietoturvaan varatuista varoista keskimäärin noin 10 prosenttia on tietoturvan budjetissa.

Ihmisten käyttämä laitteisto on kuitenkin ylivoimaisesti haavoittuvin osa mitä tahansa yritystä, ja yritysten olisi toimittava ennaltaehkäisevästi ennen hoitoa.

Ihmisvirheet ovat syynä jopa 95 prosenttiin tietoturvaloukkauksista, ja yksinkertaisilla tietoisuuskoulutuskursseilla tätä määrää voidaan vähentää huomattavasti. Viimeaikaisten arvioiden mukaan vain puolet työntekijöistä saa koulutusta vain kerran vuodessa.

Pk-yrityksistä suuryrityksiin työntekijä on yrityksen turvallisuuden viimeinen puolustuslinja, "inhimillinen palomuuri". Mitkä ovat siis tärkeimmät tietoturvatietoisuuden koulutusaiheet henkilöstöllesi?

Mitkä ovat tärkeimmät tietoturvatietoisuuskoulutuksen aiheet?

Olemme listanneet tärkeimmät tietoturvatietoisuutta edistävät koulutusaiheet työntekijöille vuonna 2021:

12 tärkeintä tietoturvallisuuskoulutuksen aihetta:

  1. Tietojenkalasteluhyökkäykset
  2. Irrotettavat tietovälineet
  3. Salasanat ja todennus
  4. Fyysinen turvallisuus
  5. Mobiililaitteiden turvallisuus
  6. Etätyöskentely
  7. Julkinen Wi-Fi
  8. Pilviturvallisuus
  9. Sosiaalisen median käyttö
  10. Internetin ja sähköpostin käyttö
  11. Sosiaalinen manipulointi
  12. Turvallisuus kotona
Kouluta käyttäjiäsi kaikista näistä aiheista uLearnin avulla. Kokeile ilmaiseksi "
 

1. Tietojenkalasteluhyökkäykset

Viime vuonna tietojenkalasteluhyökkäykset ovat lisääntyneet valtavasti. Erityisesti pandemiaan liittyvien tietojenkalastelusähköpostiviestien määrä oli valtava. Googlen Threat Analysis Group raportoi huhtikuun puolivälissä, että se esti 18 miljoonaa COVID-19-aiheista haittaohjelmaa ja tietojenkalastelusähköpostia päivässä.

Tietojenkalasteluhyökkäykset ovat edelleen yleisin syy tietoturvaloukkauksiin. Nykyiset luvut osoittavat selvästi, että tietoisuutta tietojenkalasteluhyökkäyksistä on lisättävä, tutkimus osoittaa. 91 prosenttia onnistuneista verkkohyökkäyksistä seuraa onnistuneita tietojenkalasteluhuijausta..

Vaikka yritykset ovat yhä tietoisempia tietojenkalastelusta, se on edelleen kasvava uhka vuonna 2021, mikä johtuu osittain työntekijöiden tietoisuuden puutteesta. Tekemällä tietoturvakoulutuksesta osa yrityksesi toimintamallia, tätä määrää voidaan ajan mittaan vähentää dramaattisesti.

"Spearphishing" on kehittyneempi ja kohdennetumpi hyökkäysmuoto, jossa käytetään tietoa työntekijöistä tai nettisivuista tekemään vahvempi tietojenkalasteluhyökkäys. Useimmat työntekijät todennäköisesti klikkaavat esimerkiksi toimitusjohtajaksi tekeytyvää sähköpostiviestiä, joka voi oikeasti sisältää haittaohjelmaliitteen. Tällaisten hyökkäysten tehokkuus on johtanut uudempiin ja kehittyneempiin hyökkäyksiin, kuten Voice Phishing ja SMS phishing.

Kouluttamalla loppukäyttäjiä tunnistamaan mahdollisesti haitalliset sähköpostit ja ilmoittamaan epäilyttävät viestit, tätä uhkaa voidaan vähentää huomattavasti. Tarjoamalla kyberturvallisuuskoulutuskursseja työntekijöiden tietoisuutta tällaisista hyökkäyksistä voidaan parantaa huomattavasti. Simuloidut kalasteluhyökkäykset voivat havainnollistaa tällaisten hyökkäysten yrityksellesi mahdollisesti aiheuttaman riskin.

2. Irrotettava media

Toinen päivittäinen tietoturvatietoisuuden aihe on irrotettavat tietovälineet. Irrotettavaan mediaan kuuluu kannettavat tallennusvälineet, jonka avulla käyttäjät voivat kopioida tietoja laitteesta toiseen. Haittaohjelmia sisältävät USB-laitteet ovat riski, sillä loppukäyttäjät saattavat kytkeä ne laitteisiinsa.

"Tutkijat pudottivat lähes 300 USB-tikkua Illinoisin yliopiston Urbana-Champaign kampukselle. 98 prosenttia näistä asemista otettiin talteen! Tämän lisäksi, 45 prosentissa tapauksista tikun talteenottaja myös avasi tikun omalla tai yliopiston koneella." *

Riskien ymmärtämisen lisäksi työntekijöidesi on osattava käyttää näitä laitteita turvallisesti ja vastuullisesti yrityksessäsi. On monia syitä, joiden vuoksi yritys saattaa päättää käyttää irrotettavia tietovälineitä ympäristössään. Kaikkiin teknologioihin liittyy kuitenkin aina mahdollisia riskejä. Laitteiden itsensä turvaamisen lisäksi on tärkeää, että työntekijäsi suojaavat näillä laitteilla olevia tietoja. Olipa kyse sitten henkilökohtaisista tai yritystiedoista, kaikilla tiedoilla on jonkinlainen arvo.

Muutama yleistä esimerkkiä irrotettavista tietovälineistä, joita sinä ja työntekijäsi saatatte käyttää työpaikalla, ovat:

  • USB-tikut
  • SD-kortit
  • CD-levyt
  • Älypuhelimet

Tämä tietoturvatietoisuutta koskeva aihe on sisällytettävä koulutukseen, ja siinä on käsiteltävä esimerkkejä siirrettävistä tietovälineistä, miksi niitä käytetään yrityksissä sekä sitä, miten työntekijät voivat ehkäistä riskejä, kuten kadonneita tai varastettuja siirrettäviä laitteita, haittaohjelmatartuntoja ja tekijänoikeusloukkauksia.


3. Salasanat ja tunnistautuminen

Erittäin yksinkertainen mutta usein unohdettu tekijä, joka voi auttaa yrityksesi turvallisuutta, on salasanojen suojaus. Usein ilkivaltaiset toimijat arvaavat yleisesti käytetyt salasanat siinä toivossa, että he pääsevät käsiksi tileihisi. Yksinkertaisten salasanojen käyttäminen tai työntekijöiden tunnistettavat salasanamallit voivat tehdä verkkorikollisten pääsyn useille tileille helpoksi. Kun nämä tiedot varastetaan, ne voidaan myydä tai muuten julkaista netissä.

Satunnaistettujen salasanojen käyttöönotto voi vaikeuttaa huomattavasti haittaohjelmien käyttäjien pääsyä useille tileille. Muut toimenpiteet, kuten kaksitekijätodennus, tarjoavat lisäturvatasoja, jotka suojaavat tilin eheyttä.

4. Fyysinen turvallisuus

Jos kuulut niihin ihmisiin, jotka jättävät salasanansa muistilapuille työpöydälleen, kannattaa nyt heittää ne pois. Vaikka monet hyökkäykset tapahtuvat digitaalisten välineiden kautta, arkaluonteisten fyysisten asiakirjojen suojaaminen on elintärkeää yrityksesi turvajärjestelmän eheyden kannalta.

Turvallisuusriskiä voidaan pienentää, jos tiedostetaan riskit, joita aiheutuu asiakirjojen, vartioimattomien tietokoneiden ja salasanojen jättämisestä toimistotiloihin tai kotiin. Ottamalla käyttöön "puhtaiden työpöytien" käytäntö voidaan vähentää huomattavasti vartioimattomien asiakirjojen varastamisen tai kopioimisen uhkaa.

5. Mobiililaitteiden turvallisuus

Tietotekniikan muuttuva toimintaympäristö on parantanut mahdollisuuksia joustaviin työympäristöihin, ja sen myötä tietoturvahyökkäykset ovat myös kehittyneempiä. Monilla ihmisillä on nyt mahdollisuus työskennellä mobiililaitteiden avulla, mutta tämä lisääntynyt yhteydenpito on tuonut mukanaan tietoturvaloukkausten riskin. Pienemmille yrityksille etätyö voi olla tehokas tapa säästää budjetissa, mutta käyttäjien ja laitteiden vastuullisuus on myös yhä tärkeämpi osa koulutusta, erityisesti matkustavien tai etätyöntekijöiden osalta. Pahantahtoisten mobiilisovellusten kasvu on lisännyt riskiä siitä, että matkapuhelimet jaa saaliiksi haittaohjelmille, joka voi mahdollisesti johtaa tietoturvaloukkaukseen.

Parhaiden käytäntöjen verkkokurssit mobiililaitteiden työntekijöille voivat auttaa kouluttamaan työntekijöitä välttämään riskejä ilman kalliita turvallisuusprotokollia. Mobiililaitteissa tulee aina olla arkaluonteiset tiedot suojattu salasanalla tai biometrisellä tunnistautumisella, joten tiedot on suojattu jos laite katoaa tai varastetaan. Henkilökohtaisten laitteiden turvallinen käyttö on välttämätön koulutusaihe kaikille työntekijöille, jotka työskentelevät omilta laitteiltaan.

Paras käytäntö on varmistaa, että työntekijöiden on allekirjoitettava mobiilin tietoturvan käyttösopimus.

6. Etätyöskentely

Vuonna 2021 etätyön ilmeinen tarve yhdistettynä sen lisääntyvään käyttöön johti siihen, että monet yritykset ryhtyivät jyrkkiin toimenpiteisiin kohti kokoaikaista kotona työskentelyä koskevia toimintatapoja.Etätyöskentely voi olla myönteistä yrityksille ja voimaannuttavaa työntekijöille , mikälisää tuottavuutta ja parantaa työn ja yksityiselämän tasapainoa. Tämä suuntaus aiheuttaa kuitenkin kasvavan uhan tietoturvaloukkauksille, jos etätyön riskeistä ei ole saatu tarpeellista opetusta. Henkilökohtaiset laitteet joita käytetään työhön, on pidettävä lukittuina kun ne ei ole käytössä, ja niihin on asennettava virustorjuntaohjelmisto. Jos yritys haluaa tarjota tämän kannustimen, sen on keskityttävä kouluttamaan etätyöntekijöitä turvallisista työskentelytavoista.

Vuonna 2021 tämä suuntaus todennäköisesti jatkuu. Vaikka toivomme, että toimistoja avataan uudelleen ja palataan normaaliin työelämään, yritykset ovat yhä useammin palkanneet etätyöntekijöitä, ja ne, jotka ovat sopeutuneet kotityöskentelyyn, saattavat työskennellä mieluummin tällä tavalla. Tarve kouluttaa työntekijöitä ymmärtämään ja hallitsemaan omaa kyberturvallisuuttaan on ilmeinen. Kuten olemme nähneet, näihin henkilöihinkohdistuuyhä enemmän uhkia . Sen varmistaminen, että he pitävät tietoturvan päällimmäisenä mielessä, on vuoden 2021 keskeinen teema.

7. Julkinen Wi-Fi

Jotkut työntekijät, joiden on työskenneltävä etätyönä, matkustettava junissa ja työskenneltävä liikkeellä, saattavat tarvita lisäkoulutusta, jotta he ymmärtävät, miten julkisia Wi-Fi-palveluja käytetään turvallisesti. Väärennetyt julkiset Wi-Fi-verkot, jotka usein esiintyvät kahviloissa ilmaisena Wi-Fi-verkkona, voivat altistaa loppukäyttäjät tietojen syöttämiselle suojaamattomille julkisille palvelimille.

Kun koulutat käyttäjiäsi julkisen Wi-Fi:n turvallisesta käytöstä ja yleisistä merkeistä, joiden avulla voit tunnistaa mahdollisen huijauksen, lisäät yritysten tietoisuutta ja minimoit riskit. WIRED-lehti tarjoaa hyödyllisen oppaan julkisen Wi-Fi:n riskien välttämisestä.

8. Pilvipalveluiden turvallisuus

Pilvipalvelut ovat mullistaneet yritykset ja tavan, jolla tietoja tallennetaan ja käytetään. Nämä digitaaliset sovellukset muuttavat yrityksiä, mutta kun suuria määriä yksityisiä tietoja tallennetaan etänä, on olemassa riski laajamittaisista hakkeroinneista. Monet suuret yritykset työskentelevät tietosuojan parissa, mutta valitsemalla oikean pilvipalveluntarjoajan pilvitallennus voi olla paljon turvallisempi ja kustannustehokkaampi tapa tallentaa yrityksesi tietoja.

Kuten muissakin mainituissa aiheissa, sisäpiirin hakkerointi on paljon suurempi uhka kuin suurille pilvipalveluyrityksille. Gartner ennustaa, että ensi vuoteen mennessä 99 prosenttia kaikista pilvipalvelun tietoturvaongelmista on loppukäyttäjän syytä. Siksi kyberturvallisuustietoisuuskoulutus voi auttaa opastamaan työntekijöitä pilvipohjaisten sovellusten turvalliseen käyttöön.

9. Sosiaalisen median käyttö

Me kaikki jaamme suuria osia elämästämme sosiaalisessa mediassa: lomista tapahtumiin ja työhön. Liiallinen jakaminen voi kuitenkin johtaa siihen, että arkaluonteisia tietoja tulee julkisesti saataville, jolloin pahansuopa toimija voi helposti esiintyä luotettavana lähteenä(katso: sosiaalinen manipulointi).

Kouluttamalla työntekijöitä suojaamaan sosiaalisen median tiliensä yksityisyysasetuksia ja estämällä yritystäsi koskevien julkisten tietojen leviämisen vähennetään riskiä siitä, että hakkerit voivat saada vipuvoimaa, kun he pääsevät henkilökohtaiseen verkkoosi.

10. Internetin ja sähköpostin käyttö

Jotkut työntekijät ovat jo saattaneet altistua tietomurroille käyttämällä samaa sähköpostitiliä ja salasanaa useilla tileillä. Eräässä tutkimuksessa havaittiin, että 59 prosenttia loppukäyttäjistä käyttää samaa salasanaa jokaisella tilillä. Tämä tarkoittaa, että jos yksi tili vaarantuu, hakkeri voi käyttää tätä salasanaa työ- ja sosiaalisen median tileillä päästäkseen käsiksi kaikkiin käyttäjän tietoihin näillä tileillä.

Sivustot saattaa tarjota ilmaisia ohjelmistoja, joissa on piilohaittaohjelmia. Siksi on parasta ladata sovelluksia vain luotettavista sivustoista. Työntekijöiden kouluttamisen turvallisista Internet-käytännöistä pitäisi olla keskeinen osa tietotekniikan perehdytystä. Vaikka jotkut käyttäjät saattavat pitää tätä koulutusta itsestäänselvyytenä, se on keskeinen osa minkä tahansa tietoturvaohjelman turvallisuutta.

Monilla suurilla verkkosivustoilla on ollut viime vuosina suuria tietomurtoja, ja jos tietosi on syötetty näille sivustoille, ne ovat voineet tulla julkisiksi ja paljastaa yksityiset tietosi.

11. Sosiaalinen manipulointi

Sosiaalinen manipulointi on yleinen tekniikka, jolla pahansuovat toimijat pyrkivät saamaan työntekijöiden luottamuksen tarjoamalla arvokkaita houkutuksia tai esiintymällä henkilöllisyydentunnustuksen avulla päästäkseen käsiksi arvokkaisiin henkilökohtaisiin tietoihin. Työntekijöitä on koulutettava tietoturvatietoisuuteen liittyvissä aiheissa, jotka kattavat yleisimmät sosiaalisen manipuloinnin tekniikat ja vaikuttamisen psykologiaa (esimerkiksi niukkuus, kiireellisyys ja vastavuoroisuus), jotta näitä uhkia voidaan torjua.

Esimerkiksi esiintymällä asiakkaana tai tarjoamalla kannustimia, yksityisiä tietoja voidaan tahattomasti luovuttaa pahansuoville toimijoille. Työntekijöiden tietoisuuden lisääminen näiden esiintymisten uhasta on ratkaisevan tärkeää sosiaalisen manipuloinnin riskin vähentämiseksi.

12. Turvallisuus kotona

Valitettavasti haittaohjelmien uhka ei lopu, kun poistut työpaikaltasi. Monet yritykset sallivat työntekijöidensä käyttää henkilökohtaisia laitteitaan, mikä on hyvä kustannussäästömenetelmä ja mahdollistaa joustavan työskentelyn, mutta siihen liittyy kuitenkin riskejä. Henkilökohtaisiin laitteisiin tietämättään ladatut haittaohjelmasovellukset voivat vaarantaa yrityksen verkon eheyden, jos esimerkiksi kirjautumistiedot ovat vaarassa.

Työntekijöiden ja yritysten käytettävissä olevien digitaalisten resurssien kasvava verkosto on lisännyt yhteyksiä ja tuottavuutta. Nämä sovellukset aiheuttavat kuitenkin myös riskin käyttäjälle, sillä Propellerin tutkimuksessa todettiin, että dropboxiin kohdistetuissa tietojenkalastelukampanjoissa oli 13,6 prosentin läpiklikkausaste. Työntekijöiden tietämyksen lisääminen, salattujen tiedostojen jakaminen ja latausten todentaminen vähentävät riskiä.

Muut tietoturvatietoisuuden koulutusaiheet

Sen lisäksi, että työntekijöitä koulutetaan tietoturvatietoisuuteen liittyvissä koulutusaiheissa, uusien säädösten myötä vaatimustenmukaisuuskurssit ovat yhä tarpeellisempia työntekijöille. EU:n tietosuoja-asetuksen noudattaminen on johtanut uusiin sähköpostia koskeviin säännöksiin, jotka saattavat vaatia monilta työntekijöiltä uudelleenkoulutusta. Näiden sääntöjen rikkominen voi johtaa raskaisiin sakkoihin. Esimerkkinä BA ja Marriott-hotellit.

Työntekijöiden on myös oltava tietoisia muuttuvasta rahoitussääntelystä, tietosuojasta, verotuksesta ja muusta. Ottamalla käyttöön automaattisia verkkoalustoja käytäntöjen hallintaa varten voit pitää työntekijäsi ajan tasalla viimeisimmistä käytäntöjen muutoksista ja varmistaa, että he pysyvät ajan tasalla.

Miten tehdä loppukäyttäjien tietoturvatietoisuuskoulutus oikein

Joka yrityksellä on erilaiset vaatimukset, joten joustava, organisaatiosi tavoitteisiin sopiva tietoverkkoturvallisuustietoisuuden kurssi on elintärkeä, jotta henkilöstöllesi voidaan tarjota oikeanlaista koulutusta.

Edistämällä keskustelukulttuuria ja tietoisuutta yrityksessäsi säännöllisesti loppukäyttäjien tietoturvatietoisuuskoulutuksen avulla voit pitää työntekijäsi ajan tasalla vaatimuksista, jotka koskevat heidän henkilökohtaisten ja yritystietojensa suojaamista.

Käynnistä tietoturvatietoisuuden koulutusohjelma

Tarjoa pienimuotoista videokoulutusta ja interaktiivista koulutusta, joka on räätälöity kunkin käyttäjän yksilöllisiin riskeihin ja toteutettu älykkään automaation avulla.

 

Aloita ihmisten muuttaminen vahvimmaksi puolustuslinjaksi.

usecure on ihmisriskien hallintaratkaisu (HRM), jonka avulla yritykset voivat vähentää käyttäjiin liittyviä tietomurtoja, rakentaa kyberkestävän työvoiman ja saavuttaa vaatimustenmukaisuusstandardit automaattisten käyttäjäkoulutusohjelmien avulla.

Johtavien IT-ammattilaisten ja hallinnoitujen palveluntarjoajien (MSP) luottamuksen ansainnut usecure analysoi, vähentää ja valvoo ihmisten kyberriskiä riskilähtöisten turvatietoisuuskoulutusohjelmien, simuloitujen tietojenkalastelu-kampanjoiden, yksinkertaistetun käytäntöjen hallinnan ja jatkuvan pimeän verkon tietoturvaloukkausten seurannan avulla - kaikki yhdeltä alustalta.

Lisätietoja usecure:sta