12 essensielle sikkerhetstrening-emner i 2021

I 2021, er det viktigere enn noen gang å lære de ansatte om nettsikkerhet på arbeidsplassen. Derfor har vi samlet 12 emner nedenfor som er smarte å inkludere. Med voksende phisketrusler rundt hvert hjørne, er det å lære opp dine ansatte den mest effektive måten å spare tid på, og for å forhindre angrep.

Mye var oppnådd i 2020 selv om omstendighetene var vanskelige. Noe av dette var transformasjonen hos bedrifter som hadde ansatte jobbende hjemmefra istedenfor på kontoret, og de forandringene som måtte på plass for å få dette til. Med å gjøre dette, kom det store utfordringer. Phisking, virus og økende aggressive taktikker fra hackere er noen av dem.

Med dette i tankene, har vi oppdatert vår liste over 12 emner som bør inkluderes i året 2021.

Hvilke sikkerhetsemner bør jeg inkludere?

Mange bedrifter legger av mye tid og penger for å implementere software som skal brukes til å beskytte informasjonen deres, med et gjennomsnittlig IT budsjett på rundt 10%. Men, "menneskelige hardware" er langt mer det farligste elementet innenfor en hver bedrift, og det bør jobbes med å forhindre risikoen, istedenfor å prøve å helbrede den.  

Menneskelige feil er grunnen i opptil 95% av cyber sikkerhetsbrudd, og ved implementering av enkle nettsikkerhetskurs kan dette nummeret bli drastisk redusert. Nylige rapporter viser at kun halvparten av ansatte får opplæring, og det kun én gang i året.

Fra SME'er til store konsern, den ansatte er den siste beskyttelsen bedriftens sikkerhet har, også kalt den "menneskelige brannmuren". Så hvilke sikkerhetstrening-emner er de viktigste for dine ansatte?

Hvilke er de mest viktige sikkerhetstrening-emnene?

Vi har skrevet opp de mest relevante nettsikkerhetstrening-emnene for ansatte i 2021:

De 12 viktigste sikkerhetstrening-emnene:

  1. Phiskeangrep
  2. Flyttbare medier
  3. Passord og autentisering
  4. Fysisk sikkerhet
  5. Mobil sikkerhet
  6. Jobbe hjemmefra
  7. Offentlig wi-fi
  8. Skysikkerhet
  9. Bruk av sosiale medier
  10. Bruk av internett og e-post
  11. Sosial manipulasjon
  12. Sikkerhet i hjemmet
Lær dine brukere opp på alle disse temaene ved bruk av uLearn. Prøv det gratis!
 

1. Phiskeangrep

Det siste året har vi sett en stor økning i antall phiskeangrep. Spesielt var det mange pandemi-relaterte phiskemailer som gikk på rundgang. Google's trusselanalyse-gruppe rapporterte i midten av April at de hadde blokkert over 18 millioner COVID-19 relaterte virus og phiskemailer hver dag.

Phiskeangrep er fortsatt årsaken til de fleste sikkerhetsbruddene vi ser i dag. Nåværende tall viser klart at nødvendigheten rundt opplæring på phiskeangrep er stor. Forskning viser at 91% av suksessfulle nettangrep er som følge av en phiskesvindel.

Selv om bedrifter åpner øynene mer og mer for phiskeangrep, er det fortsatt en voksende trussel i 2021. Dette er mye på grunn av de ansattes lave kunnskap rundt temaet. Ved å implementere kontinuerlig sikkerhetstrening, kan denne risikoen bli drastisk redusert over tid.

"Spydphisking" ("Spearphishing" på engelsk) er en mer sofistikert og målrettet form for angrep. Ved å bruke spesifikke ansatte for å legitimere en e-post til et spesifikt sett med sluttbrukere. En e-post som for eksempel etterligner en administrerende direktør, vil sannsynligvis bli klikket på av de fleste ansatte, og kan inneholde et vedlegg til skadelig programvare. Effektiviteten av slike angrep har ført til nyere og sofistikert utvikling, som for eksempel stemmephisking (Voice Phishing) og SMS-phisking.

Ved å trene sluttbrukerne dine til å gjenkjenne potensielt skadelige e-poster og rapportere e-poster som ser mistenkelige ut, kan denne trusselen reduseres dramatisk. Ved å tilby opplæringskurs på nettsikkerhet, kan ansattes bevissthet om slike angrep dramatisk forbedres med jevn opplæring. Simulerte phiskeangrep kan demonstrere den potensielle risikoen for selskapet ditt for slike angrep.

2. Flyttbare medier

Et annet tema for sikkerhetstrening som brukes daglig av bedrifter, er flyttbare medier. Flyttbart medium er det bærbare lagringsmediet som lar brukere kopiere data til enheten og deretter fjerne dem fra enheten til en annen og omvendt. USB-enheter som inneholder skadelig programvare kan bli lagt igjen for sluttbrukere å finne når de kobler dette til enheten.

"Forskere droppet nesten 300 USB-pinner på University of Illinois Urbana-Champaign campus. 98% av disse pinnene ble plukket opp! I tillegg ble 45% av disse stasjonene ikke bare plukket opp, men enkeltpersoner klikket også på filene de fant inne på USB-pinnen."

I tillegg til å forstå risikoen, trenger dine ansatte å vite hvordan man bruker disse enhetene trygt og ansvarlig i din virksomhet. Det er mange grunner til at et selskap vil bestemme seg for å bruke flyttbare medier i bedriften. Men, med mange ulike teknologier, vil det alltid være potensielle risikoer. I tillegg til enhetene i seg selv, er det viktig at dine ansatte beskytter dataene på disse enhetene. Enten det er personlig eller bedrift, alle data har en form for verdi.

Noen få vanlige eksempler på flyttbare medier du og dine ansatte kan bruke på arbeidsplassen er:

  • USB-pinner
  • SD-kort
  • CD-er
  • Smarttelefoner
Dette sikkerhetstrening-emnet bør inkluderes i opplæringen din og inkludere eksempler på situasjoner med flyttbare medier, hvorfor det brukes i bedrifter, samt hvordan dine ansatte kan forhindre risikoer som tapte eller stjålne flyttbare enheter, infeksjoner med skadelig programvare og brudd på opphavsrett.


Cyber Security Awareness Training Guide


3. Passord og autentisering

Et veldig enkelt, men ofte oversett element som kan hjelpe bedriftens sikkerhet, er passordsikkerhet. Ofte vanlige brukte passord vil bli gjettet av ondsinnede aktører i håp om å få tilgang til kontoene dine. Å bruke enkle passord, eller ha gjenkjennelige passordmønstre for ansatte, kan gjøre det enkelt for nettkriminelle å få tilgang til et stort utvalg av kontoer. Når denne informasjonen er stjålet, kan den offentliggjøres eller selges for fortjeneste på dark web.

Implementering av randomiserte passord kan gjøre det mye vanskeligere for ondsinnede aktører å få tilgang til en rekke kontoer. Andre trinn, for eksempel tofaktorautentisering, gir ekstra lag med sikkerhet som beskytter integriteten til kontoen.

4. Fysisk sikkerhet

Hvis du er en av de personene som legger igjen passordene sine på klistrede notater på skrivebordet, kan det være lurt å begynne å kaste dem. Selv om mange angrep sannsynligvis vil skje gjennom digitale medier, er det viktig å holde sensitive fysiske dokumenter sikret for integriteten til bedriftens sikkerhetssystem.

Enkel påminnelse om risikoen ved å legge igjen dokumenter, ubetjente datamaskiner og passord rundt kontorlokalet eller hjemmet kan redusere sikkerhetsrisikoen. Ved å implementere en "rent skrivebord"-politikk, kan trusselen om at ubetjente dokumenter blir stjålet eller kopiert reduseres betydelig.

5. Mobilsikkerhet

Det skiftende landskapet til IT-teknologier har forbedret evnen for fleksible arbeidsmiljøer, men på samme tid, også mer sofistikerte sikkerhetsangrep. Med mange mennesker som nå har muligheten til å jobbe mens du er på farten ved hjelp av mobile enheter, har denne økte tilkoblingen kommet med økt risiko for sikkerhetsbrudd. For mindre selskaper kan dette være en effektiv måte å spare budsjett på, men ansvar rundt bruken av mobile enheter er et stadig mer relevant aspekt ved opplæring i 2021, spesielt for reisende eller eksterne ansatte. Ankomsten av ondsinnede mobilapper har økt risikoen for at mobiltelefoner inneholder skadelig programvare som potensielt kan føre til et sikkerhetsbrudd.

"Beste praksis online"-kurs for mobile arbeidere kan bidra til å utdanne ansatte til å unngå tabber, uten å måtte investere i dyre sikkerhetsprotokoller. Mobile enheter skal alltid ha sensitiv informasjon passordbeskyttet, kryptert eller med biometrisk autentisering i tilfelle enheten blir mistet eller stjålet. Sikker bruk av personlige enheter er nødvendig opplæring for alle ansatte som jobber på egne enheter.

Beste praksis er å sørge for at arbeidstakere må signere retningslinjer rundt mobilsikkerhet.

6. Jobbe hjemmefra

I 2021 førte det åpenbare behovet for å jobbe hjemmefra til at mange selskaper tok drastiske skritt ved å lage retningslinjer og planer for å jobbe hjemmefra på fulltid. Fjernarbeid kan være positivt for selskaper og styrke ansatte som fremmer økt produktivitet og større arbeid/fritid-balanse. Denne trenden utgjør imidlertid også en økt trussel mot sikkerhetsbrudd når brukeren ikke er skikkelig opplært til risikoen for fjernarbeid. Personlige enheter som brukes til arbeidsformål, bør forbli låst når de ikke brukes og ha antivirusprogramvare installert. Hvis et selskap ønsker å tilby å jobbe hjemmefra, bør de fokusere på å utdanne ansatte til sikker ekstern arbeidspraksis.

Til og med langt inn i 2021 er det sannsynlig at denne trenden vil fortsette. Selv om vi håper å se kontorer gjenåpne og komme tilbake til det normale arbeidslivet, har selskaper i økende grad ansatt eksterne ansatte, og de som har tilpasset seg jobbe-hjemmefra-livsstilen foretrekker kanskje å jobbe på denne måten. Behovet for å trene ansatte til å forstå og styre sin egen cybersikkerhet er tydelig. Som vi har sett, er det en økende trussel rettet mot disse personene. Å sikre at de holder sikkerheten på topp er et sentralt tema i 2021.

7. Offentlig Wi-Fi

Noen ansatte som trenger å jobbe eksternt, reise med tog og jobbe på farten, kan trenge ekstra opplæring i å forstå hvordan de trygt kan bruke offentlige Wi-Fi-tjenester. Falske offentlige Wi-Fi-nettverk, som ofte poserer i kaffebarer som gratis Wi-Fi, kan gjøre sluttbrukere sårbare for å legge inn informasjon på ikke-sikre offentlige servere.

Å opplære brukerne dine til sikker bruk av offentlig Wi-Fi og for å se etter de vanlige tegnene på en potensiell svindel, vil øke selskapenes bevissthet og minimere risikoen. 

8. Skysikkerhet

Bruk av skybaserte løsninger har revolusjonert virksomheter, hvordan data lagres og hvordan man får tilgang til den. Disse digitale applikasjonene transformerer bedriftene, men med store mengder private data som lagres eksternt i skyen, risikerer man også svære hackerangrep. Mange store selskaper jobber med databeskyttelse, men ved å velge riktig skytjenesteleverandør kan skylagring være en mye tryggere og kostnadseffektiv måte å lagre bedriftens data på.

Som med de andre temaene som er nevnt, er brukerfeil den største trusselen for bedrifter som bruker skybaserte løsninger. Derfor kan opplæring om cybersikkerhet hjelpe deg med å veilede ansatte gjennom sikker bruk av skybaserte applikasjoner. 

9. Bruk av sosiale medier

Vi deler alle store deler av livene våre på sosiale medier: fra høytider til arrangementer og arbeid. Men overdeling kan føre til at sensitiv informasjon er tilgjengelig, noe som gjør det enkelt for en ondsinnet aktør å posere som en pålitelig kilde.

Å opplære ansatte til å beskytte personverninnstillingene på sosiale mediekontoer, og forhindre spredning av offentlig informasjon av selskapet ditt, vil redusere risikoen for potensiell informasjon som hackere kan få fra denne tilgangen til mediet ditt.

10. Bruk av internett og e-post

Noen ansatte kan allerede ha blitt utsatt for databrudd ved å bruke enkle eller gjentatte e-poster for flere kontoer. En studie fant at 59% av sluttbrukere bruker det samme passordet for hver konto. Dette betyr at hvis en konto blir kompromittert, kan en hacker bruke dette passordet på arbeids- og sosiale mediekontoer for å få tilgang til all brukerens informasjon på disse kontoene.

Ofte tilbyr nettsteder gratis programvare som er infisert med skadelig programvare. Å laste ned applikasjoner kun fra pålitelige kilder er den beste måten å beskytte datamaskinen din mot å installere skadelig programvare ved et uhell. Å opplære de ansatte til trygge internettvaner bør være en sentral del av enhver bedrift, selv om noen kan se denne opplæringen som åpenbar, er det en sentral del av sikkerheten til bedriften.

Mange store nettsteder har hatt store datainnbrudd de siste årene. hvis informasjonen din er lagt inn på disse nettstedene, kunne den blitt offentliggjort og eksponere din private informasjon.

11. Sosial manipulasjon

Sosial manipulasjon er en vanlig teknikk ondsinnede aktører bruker for å få tillit fra ansatte, lokke med verdifulle tilbud eller bruk av etterligning for å få tilgang til verdifull personlig informasjon. De ansatte må opplæres om sikkerhetstrening-emner som dekker de vanligste sosiale teknikkene og på innflytelsespsykologi (for eksempel: knapphet, hastverk og gjensidighet), for å bekjempe disse truslene.

For eksempel ved å spille en levedyktig klient eller å tilby insentiver, kan privat informasjon uforvarende overleveres til disse ondsinnede skuespillerene. Å øke ansattes bevissthet om trusselen om disse etterligningene er avgjørende for å redusere risikoen for sosial manipulasjon.

12. Sikkerhet i hjemmet

Dessverre stopper ikke trusselen fra ondsinnede skuespillere når du forlater arbeidsplassen. Mange selskaper lar sine ansatte bruke sine personlige enheter i arbeidssammenheng. Dette er en stor kostnadsbesparende metode og tillater fleksibelt arbeid, men det er risikoer forbundet med dette. Uvitende nedlastinger av applikasjoner med virus på personlige enheter kan risikere integriteten til selskapets nettverk hvis for eksempel påloggingsdetaljer blir stjålet.

I tillegg har det økende nettverket av digitale ressurser tilgjengelig for arbeidere og selskaper, økt tilkobling og produktivitet. Imidlertid utgjør disse applikasjonene også en risiko for brukeren. en studie av Propeller fant at phishing-kampanjer målrettet mot dropbox hadde en 13,6% klikkfrekvens. Å øke ansattes kunnskap, dele krypterte filer og autentisere nedlastinger vil redusere risikoen.

3.4.1 size

Andre IT sikkerhetstrening-emner

Samtidig ved å opplære ansatte om emner på sikkerhetsbevissthet, når nye forskrifter blir pålagt, er det stadig mer nødvendig med retningslinjekurs for ansatte. GDPR-samsvar i EU har ført til nye forskrifter om e-post, som kan kreve opplæring for mange ansatte. Brudd på disse reglene kan føre til tunge bøter.

Ansatte bør også være klar over det å endre finansregulering, databeskyttelse, skatt og mer. Ved å registrere deg i automatiserte plattformer som har retningslinjeadministrasjon, kan du holde dine ansatte oppdatert med de siste endringene i policyen og sørge for at den blir lest og signert.

Få til opplæringen riktig

Alle selskaper har forskjellige krav, så det å sikre fleksible kurs på nettsikkerhet som passer med organisasjonens mål, er utrolig viktig for å skaffe den riktige opplæringen for dine ansatte.
 
Ved å markedsføre en kultur for samtale og bevissthet i virksomheten din, regelmessig gjennom opplæring i sluttbrukernes sikkerhetsbevissthet, kan du holde dine ansatte oppdatert i henhold til kravene om å holde deres personlige og bedriftsinformasjon sikker.

Sett i gang med din sikkerhetstrening

Lever korte videoer og interaktiv opplæring, tilpasset hver brukers unike risikoer ved informasjon oppnådd gjennom intelligent automatisering.

 

Gjør mennesker om til ditt sterkeste forsvar

 

usecure er en Human Risiko Management (HRM) plattform som styrker bedrifter og hjelper dem å redusere brukerrelaterte sikkerhetstabber, samtidig å bygge en cybersikker arbeidskraft og oppnå retningslinjer gjennom automatiske opplæringsprogram for brukeren.

 

usecure plattformen er brukt av ledende IT bedrifter og Managed Service Providers (MSP’er) verden over. usecure analyserer, reduserer og overvåker menneskelig cyberrisiko ved å drive sikkerhetstrening og kurs, phishing simulering (også kjent som phisking på norsk), automatisert retningslinjeprogram (policy management) og kontinuerlig dark web overvåkning - alt på samme plattform.

 

Lær mer om usecure