カジノサイト
従業員: サイバー攻撃に対する防御の第一線
燃え尽き症候群は従業員にとって大きな問題です。、会社員の 80% とセキュリティ専門家の 84% が燃え尽き症候群になったと報告しています。さらに悪いことに、そのうちの約 20% が燃え尽き症候群の従業員自分たちが勤めている会社のセキュリティ ポリシーは「苦労する価値はない」と言いました。これは、サイバーセキュリティにおける防御の最前線を構成する人々に望む態度ではありません。
これら従業員の燃え尽き症候群米国が詳述しているように、企業ネットワークに侵入するために犯罪者が使用する最も一般的な初期アクセス手法の 1 つとして、フィッシングの試みを検出またはブロックできないことが挙げられていることを考えると、セキュリティに関する統計はさらに憂慮すべきものです。(CISA) 最近のセキュリティ警告。
企業はネットワークを侵害から強化するための技術的ソリューションを導入することができ、導入する必要がありますが、従業員はサイバーセキュリティ防御の重要な要素を形成する必要があります。今日の世界では、セキュリティとリスク管理は組織内の一部のサイバーセキュリティ専門家だけの責任ではなく、全員の責任です。セキュリティ専門家としての私たちの課題は、従業員が最も弱い部分ではなく、サイバー攻撃に対する企業の防御の最前線となるよう教育し、動機づけることです。
そこで従業員のサイバー意識向上トレーニングの出番です。これは、企業や個人が直面するサイバー脅威、攻撃の認識方法、そして重要なことに、これらの脅威を軽減して会社を保護するために必要なツールを人々に提供する方法について従業員を教育するメカニズムです。
ビジネスにサイバー意識向上トレーニングを導入する利点とベスト プラクティスをいくつか紹介します。
セキュリティの文化を育む
リーダーシップは重要です。セキュリティ意識向上トレーニング プログラムを成功させるには、従業員が経営陣から直属のマネージャーに至るまで、サイバーセキュリティが会社の優先事項であることを理解する必要があります。リーダーは模範を示し、プログラムへの取り組み、割り当てられたトレーニングの完了、および落伍者の是正を促進するために責任を負わなければなりません。そして、これは従業員との 1 回限りのタッチポイントであってはなりません。指導者はサイバーセキュリティのメッセージを継続的に強化し、必要に応じてプログラムの成功と課題を強調するように注意する必要があります (フィッシング攻撃の特定と修復が成功したこと、シミュレートされたフィッシング テストの合格率が向上したことなど)。
企業のリーダーが模範を示し、サイバーセキュリティを永続的な優先事項として確立することで、企業と従業員の両方をサイバー攻撃から守るために組織内にセキュリティの文化を推進し始めることができます。
従業員に権限を与える
トレーニングを、ビジネスに影響を与える現実世界の成果に明確に結びつけるポジティブなフィードバック ループは、賛同、エンゲージメント、効果的な脅威軽減プログラムを促進するために不可欠です。
最近、私の同僚の一人が、不審に見える電子メールを受信し、 として報告したと言いました。フィッシング メッセージ、それは私たち自身のセキュリティ意識向上トレーニング プログラムの一部だと思っていました。当社のトレーニング プラットフォームからのこのような疑似フィッシング メッセージが従業員によって報告されると、「おめでとうございます! 雇用主のテストに合格しました!」というポップアップが表示されます。以前に実施したトレーニングを強化するために即座にフィードバックを提供します。
リーダーはサイバーセキュリティに関するメッセージを継続的に強化する必要があります。
ただし、この場合、報告されたメールはトレーニング プログラムの一部ではなく、ユーザーに対する実際のフィッシング行為でした。その結果、メッセージは分析のために社内の IT チームに送信され、すぐに彼女は、その試みが実際に現実の脅威であり、彼女の行動が会社に対する潜在的なサイバー攻撃を防ぐのに役立ったことを知らせる電子メールを受け取りました。これは、当社のセキュリティ意識向上トレーニング プラットフォームによって提供されるユーザー フィードバックに加えて、リアルタイムのユーザー フィードバックを当社のフィッシング脅威修復プロセスに組み込むという特別な措置を講じているためです。
会社のサイバーセキュリティ防御に参加する仕組みを従業員に与えることと、従業員の取り組みに対するフィードバックを提供することは、組織内のセキュリティの文化に対する賛同を構築し、自己満足と闘う上で重要な部分です。これらのツールは「ブラックホール」であってはならず、インタラクティブである必要があり、ユーザーの行動をより良くするために役立つものでなければなりません。
リスクの特定と修正
集中トレーニング プログラムは、個々の従業員が被害者になる危険性が最も高い分野を特定するのにも役立ちますソーシャル エンジニアリング(つまり、個人を騙して詐欺目的に使用される可能性のある機密情報や個人情報を漏らすための欺瞞的戦術の使用)。ユーザーレベルのリスクと脆弱性についてのこの洞察は、トレーニングと修復をカスタマイズして結果を生み出す効果的なプログラムを推進するために重要です。
たとえば、当社の顧客の 1 つは最近、従業員向けのセキュリティ意識向上トレーニング プログラムを導入しました。このプログラムには、従業員のリスクと修復をユーザー レベルで可視化するために、この記事で提唱されているベスト プラクティスが組み込まれています。最初の立ち上げ時、クライアントは会社全体でベースラインの 27% のフィッシング失敗率を経験しました。 90 日以内に、その割合は 3% まで減少しました。トレーニングは正しく行えば効果があります。
コンプライアンス基準とベストプラクティスの遵守
単に犯罪者がネットワークに侵入するのを困難にするだけでなく、サイバー攻撃に対する防御の最前線となるよう従業員を教育し、権限を与えることによって、二次的、三次的なメリットがあります。たとえば、一部の業界では、コンプライアンス要件やデューデリジェンスの一環としてこれらのトレーニング プログラムを単に要求しています。このような要件を遵守している企業にとって、コンプライアンス違反は既存または将来のビジネスチャンスを危険にさらす可能性があります。
厳密に要求されるレベルを超えて開口部を開くことは、どの企業も上流または下流の混乱から自社自身に完全に影響を受けないことを理解する必要がありますサプライチェーン、そして企業は、ベンダーや顧客自体が安全であることをますます知りたいと考えています。この文脈の中で、セキュリティ意識向上トレーニングの話題が頻繁に取り上げられるようになりました。これらのプログラムを効果的に導入する企業は、サイバー攻撃に対する防御を強化し、新しいビジネスでの競争において有利な立場に立つことができます。
セキュリティ上の成果を上げるために恐怖を利用すべきではありません。
サイバー意識向上トレーニングを利用すると、サイバー保険契約の費用を節約できる可能性もあります (おそらく、最初から保険を確保するための要件となるでしょう)。したがって、効果的なセキュリティ意識向上プログラムのメリットは、個人や企業を保護するだけでなく、新しいビジネスを維持し推進することもできます。
資産の保護
データ侵害の平均コストは、2021 年の 424 万ドルから 2022 年の 435 万ドルへと 2.6% 増加しましたすべてではないにしても、ほとんどの企業にとって、このような侵害は十分に壊滅的なものであり、時間とリソースを従業員の積極的なトレーニングに投資するかどうかが、事業運営の維持と継続的な成長の違いを意味するか、あるいは完全に廃業するかの違いを意味する可能性があります。
この情報はセキュリティ領域内で「現状のまま」設定されるものであり、脅迫戦術として使用されるものではありません。恐怖を利用してセキュリティ上の成果を推進すべきではありません。代わりに、セキュリティは、維持し成長するための組織の権限付与の文脈の中で議論されるべきです。この観点から見ると、効果的なセキュリティ意識向上トレーニング プログラムは、組織が運営されている現実の環境の中で確実に成長できるようにするために採用すべき重要なステップです。
意識を高める
従業員サイバー意識向上プログラムの最終的な目標は、意識を高めることです。この場合、本当に知らないことがあなたを傷つける可能性があります。これは、セキュリティ第一の文化で運営し、警戒を怠らず、脅威に適切に対応する必要がある理由を従業員が知り、理解する必要があるという自信を植え付けることです。
CISSP、CCSP、PMP の Eric Regnier は、カリフォルニア州サンノゼに拠点を置く、受賞歴のある IT コンサルティング会社およびマネージド サービス プロバイダーである ZAG Technical Services の IT セキュリティおよびコンプライアンスのマネージャーです。Regnier は、組織内でのセキュリティ ソリューションの戦略と実装を専門としています。彼は元米国海軍潜水艦士官であり、技術政策とコンピューター サイエンスの修士号を取得しています。
© ZAG テクニカル サービス
