Kerija, Amerikas Savienotās Valstis, 2024. gada 28. maijs, CyberNewsWire
Ja šobrīd starp galvenajiem informācijas drošības darbiniekiem (CISO) cirkulē viena tēma, tas ir jautājums par to, kā iesaistīt ieinteresētās personas ar stingrākiem kiberdrošības apmācības protokoliem.
Ir apspriesti galvenie jautājumi par to, kāpēc jums vajadzētu nodrošināt IT speciālistu apmācību par kiberdrošību, piemēram, satraucošais kiberuzbrukumu pieaugums (par 72% salīdzinājumā ar visu laiku augstāko līmeni 2021. gadā, saskaņā ar Identitātes zādzību izpētes centra 2023. gada ziņojumu par datu pārkāpumiem). , vai straujo tehnoloģiju attīstību, radot pastāvīgu atgūšanas spēli.
Taču jautājums nav par to, vai organizācija tiks mērķēta, bet gan par to, kad. CISO ir arvien noraizējušās, jo, lai gan viņi saprot, ka neizbēgamā pārkāpuma gadījumā viņiem uzkritīs cirvis, nodrošināt sanāksmju telpas atbalstu lieliem ieguldījumiem preventīvos pasākumos, piemēram, apmācībā, ir izaicinājums pasaulē, kurā tiek prasīti ieņēmumi par katru iztērēto dolāru.
“Ceļš, lai nodrošinātu dalību sēžu zālē, ir sarežģītāks nekā vienkārši pareiza statistika un pētījumi uz papīra,” saka Dara Warn, globālā kiberdrošības apmācību un sertifikācijas nodrošinātāja INE Security izpilddirektore. “Lai pārvarētu plaisu starp CISO un ieinteresētajām personām, CISO ir jāpieņem stratēģiska pieeja, kas apvieno finansiālās ietekmes datus, atbilstošus gadījumu izpēti un pārliecinošus stāstījumus. Ir ļoti svarīgi noteikt, ka kiberdrošības apmācība ir būtisks ieguldījums, nevis obligāts izdevumi.
Cilvēciskais faktors kiberdrošībā
Kiberdrošība nav tikai tehnoloģija; tas ir par cilvēkiem. Cilvēciskās kļūdas joprojām ir viens no galvenajiem drošības pārkāpumu cēloņiem. Uzņēmums Verizon savā 2023. gada datu pārkāpumu izmeklēšanas ziņojumā atklāja, ka 68% pārkāpumu bija saistīti ar cilvēcisku elementu, piemēram, sociālo inženieriju, privilēģiju ļaunprātīgu izmantošanu vai vienkāršas kļūdas. Tas uzsver, cik svarīgi ir nodrošināt darbiniekus ar zināšanām un prasmēm, lai atpazītu iespējamos draudus un reaģētu uz tiem.
Gadījuma izpēte: Capital One datu pārkāpums
2019. gadā Capital One piedzīvoja datu pārkāpumu, kas atklāja vairāk nekā 100 miljonu klientu personisko informāciju. Pārkāpumu izraisīja nepareizi konfigurēts tīmekļa lietojumprogrammu ugunsmūris, kas ļāva uzbrucējam piekļūt sensitīviem datiem, kas glabājas Amazon Web Services (AWS). Šis incidents uzsver, cik svarīgi ir apmācīt darbiniekus par mākoņdrošības praksi un pareizu drošības rīku konfigurāciju. Reaģējot uz to, Capital One uzlaboja savas kiberdrošības apmācības programmas, iekļaujot mākoņdrošību, uzsverot nepieciešamību veikt regulāras revīzijas un konfigurācijas pārbaudes. Šis gadījums parāda, kā specializēta apmācība var novērst dārgus pārkāpumus un aizsargāt sensitīvus datus.
Kiberdrošības apmācības ROI
Ieguldījumi kiberdrošības apmācībā nav tikai aizsardzības pasākums; tas ir stratēģisks ieguldījums, kas var dot ievērojamu peļņu. Labi apmācīts darbaspēks, ne tikai izpratne par drošību, bet arī SOC un tīklu komandas, var kalpot kā pirmā aizsardzības līnija pret kiberdraudiem, samazinot pārkāpumu iespējamību un līdz minimumam samazinot iespējamos zaudējumus. Saskaņā ar Ponemon institūta 2023. gada ziņojumu par datu pārkāpuma izmaksām organizācijas ar plašām incidentu reaģēšanas plānošanas un testēšanas programmām ietaupīja 1,49 miljonus ASV dolāru, salīdzinot ar organizācijām ar zemāku līmeni.
Gadījuma izpēte: Maersk NotPetya Attack
2017. gadā kuģniecības gigantu Maersk skāra ļaunprogrammatūra NotPetya, kas strauji izplatījās tā globālajā tīklā, izraisot pilnīgu tā IT sistēmu slēgšanu. Uzbrukumu izraisīja apdraudēta programmatūras atjaunināšana, izmantojot sliktu kiberdrošības higiēnu un darbinieku apmācības trūkumu par ļaunprātīgas programmatūras identificēšanu. Incidents Maersk radīja vairāk nekā 300 miljonus dolāru zaudējumus. Atbildot uz to, Maersk ieviesa visaptverošu kiberdrošības apmācību programmu, kurā galvenā uzmanība tika pievērsta ļaunprātīgas programmatūras atpazīšanai, programmatūras atjauninājumu nodrošināšanai un reaģēšanai uz kiberincidentiem. Šis gadījums uzsver nepieciešamību apmācīt darbiniekus par jaunākajiem kiberdraudiem un labāko praksi.
Pārliecinoša stāstījuma izveide sanāksmju telpai
Uzņēmuma finanšu dati un gadījumu izpēte ir svarīgi, lai nodrošinātu, taču to paziņošana padomes zālei joprojām ir izaicinājums CISO. Lai nodotu vēstījumu, CISO ir arī jāizstrādā pārliecinošs stāstījums, kas rezonē ar valdes locekļiem. Šeit ir dažas galvenās stratēģijas:
1. Runājiet padomes valodu
Valdes locekļi bieži vien ir vairāk pieskaņoti finanšu rādītājiem un biznesa rezultātiem, nevis tehniskajam žargonam. CISO vajadzētu veidot kiberdrošības apmācību kā uzņēmējdarbības veicinātāju, kas aizsargā organizācijas peļņu. Izceļot iespējamos finansiālos zaudējumus no pārkāpumiem un apmācību programmu IA, tas var būt pārliecinošs gadījums.
2. Izmantojiet reālus piemērus
Reālās pasaules gadījumu izpēte, piemēram, uzbrukumi Maersk NotPetya un Capital One, var ilustrēt kiberdrošības apmācības taustāmo ietekmi. Šie piemēri sniedz salīdzināmus scenārijus, kas uzsver, cik svarīgi ir ieguldīt darbinieku izglītībā.
3. Sviras dati un statistika
Datu iesniegšana no cienījamiem avotiem var nodrošināt argumentu ticamību. Statistika, kas parāda cilvēku kļūdu izplatību pārkāpumos un apmācības finansiālos ieguvumus, var būt spēcīgs instruments padomes pārliecināšanai.
4. Uzsveriet atbilstību normatīvajiem aktiem
Normatīvas prasības, piemēram, GDPR un CCPA, nosaka stingrus datu aizsardzības pasākumus. Par noteikumu neievērošanu var tikt uzlikts liels naudas sods un kaitējums reputācijai. Uzsverot, kā kiberdrošības apmācība var palīdzēt izpildīt šīs regulatīvās prasības, var būt efektīvs leņķis, lai nodrošinātu dalību dalībā.
5. Izceliet konkurences priekšrocības
Tirgū, kurā valda arvien lielāka konkurence, spēcīgi kiberdrošības pasākumi var atšķirties. Uzņēmumi, kas pazīstami ar savu spēcīgo drošības stāju, visticamāk piesaista un notur klientus. CISO var uzsvērt, kā visaptveroša apmācības programma var uzlabot organizācijas reputāciju un konkurētspēju.
Kopējo iebildumu pārvarēšana
Valdes locekļi var izteikt iebildumus par kiberdrošības apmācību izmaksām un laiku. CISO jābūt gatavām risināt šīs bažas, izmantojot uz datiem balstītus argumentus un stratēģisku ieskatu.
Bažas par izmaksām
Lai gan sākotnējie ieguldījumi apmācību programmās var šķist nozīmīgi, CISO var uzsvērt ilgtermiņa izmaksu ietaupījumus, novēršot pārkāpumus. Saskaņā ar Ponemon institūta datiem datu pārkāpuma vidējās izmaksas 2023. gadā bija 4,45 miljoni USD. Ieguldījumi apmācībā var mazināt šīs izmaksas, samazinot pārkāpumu iespējamību un smagumu.
Laika ierobežojumi
Valdes locekļi var uztraukties par laiku, ko darbinieki pavadīs apmācībām. CISO var atbalstīt elastīgas, modulāras apmācības programmas, kas ļauj darbiniekiem mācīties savā tempā, netraucējot produktivitāti. Turklāt mērķtiecīgu apmācību programmu efektivitātes uzsvēršana var mazināt bažas par laika ieguldījumiem.
CISO ir galvenie dalībnieki savu organizāciju aizsardzībā pret kiberdraudiem. Nav viegls uzdevums izveidot sanāksmju telpu, lai varētu ieguldīt kiberdrošības apmācībā, taču, izmantojot dažas no šīm stratēģijām, tas var kļūt veiksmīgāks. Šo darbību iekļaušana jūsu vajadzību paziņošanas procesā ar ieinteresētajām personām palīdzēs nodrošināt atbalstu un resursus, kas nepieciešami, lai īstenotu efektīvas apmācības programmas, un galu galā labāk aizsargāt organizācijas digitālos un fiziskos īpašumus. Likmes ir augstas, un visu ieinteresēto personu iesaistīšana vienā komandā ir ļoti svarīga, lai organizācija gūtu panākumus un drošību ilgtermiņā.
Par INE Security
INE Security ir galvenais tiešsaistes tehnisko apmācību un kiberdrošības sertifikātu nodrošinātājs. Izmantojot pasaulē jaudīgāko praktisko laboratorijas platformu, jaunākās tehnoloģijas, globālo video izplatīšanas tīklu un pasaules līmeņa pasniedzējus, INE ir labākā apmācības izvēle Fortune 500 uzņēmumiem visā pasaulē un IT profesionāļiem, kuri vēlas uzlabot savu karjeru. INE mācību ceļu komplekts piedāvā nesalīdzināmu dziļumu kiberdrošības, mākoņa, tīklu un datu zinātnes jomās. INE ir apņēmusies nodrošināt progresīvu tehnisko apmācību, vienlaikus samazinot šķēršļus visā pasaulē tiem, kas vēlas iekļūt un izcelties IT karjerā.
Sazināties
Preses komanda
INE
[email protected]
