Ce este formarea de conștientizare a securității? | Definiție de la TechTarget

Ce este formarea de conștientizare a securității?

Instruirea de conștientizare a securității este o abordare strategică pe care profesioniștii din IT și securitate o adoptă pentru a educa angajații și părțile interesate cu privire la importanța securitate cibernetică și confidențialitatea datelor. Obiectivul final este de a spori gradul de conștientizare a angajaților în materie de securitate și de a reduce riscurile asociate cu amenințările cibernetice.

În elaborarea unui bun program de instruire privind conștientizarea securității, companiile ar trebui să sublinieze angajaților criticitatea protejării organizației și să ofere o privire de ansamblu asupra politicilor și procedurilor corporative corespunzătoare care acoperă cum să lucreze în siguranță și pe cine să contacteze dacă descoperă un potentiala amenintare.

Instruirea de conștientizare a securității ar trebui să fie personalizată pentru a implica angajații de toate nivelurile, indiferent de cât timp au fost în organizație.

De ce este importantă formarea de conștientizare a securității?

Formarea eficientă de conștientizare a securității le permite angajaților să practice corect igiena cibernetică, recunosc riscurile de securitate legate de acțiunile lor și identifică potențialele atacuri cibernetice care pot fi întâlnite prin e-mail și platforme web.

Beneficiile comune ale instruirii privind conștientizarea securității includ următoarele:

• Previne pierderile financiare. Atacurile cibernetice pot paraliza financiar afacerile și pot afecta reputația mărcii lor. „Cost of a Data Breach Report 2023” de la IBM Security și Ponemon Institute a stabilit costul mediu al unei încălcări a datelor în rândul celor 550 de companii chestionate la 4.45 milioane USD per incident – ​​o creștere cu 15% în ultimii trei ani. Instruirea de conștientizare a securității îi învață pe angajați cum să protejeze activele, datele și resursele financiare ale organizației lor. Prin reducerea probabilității incidentelor și încălcărilor de securitate, organizațiile își pot minimiza pierderile financiare și pot menține un mediu mai sigur și mai rezistent.
• Minimizează riscul de incidente. De asemenea, este în creștere și volumul atacurilor împotriva organizațiilor. de la Verizon „Raport 2023 privind investigațiile privind încălcarea datelor” a analizat 16,312 incidente de securitate din 20 de industrii din întreaga lume. Raportul a confirmat că 5,199 dintre aceste incidente au fost încălcări ale datelor și că 74% dintre încălcări - inclusiv inginerie socială, utilizare greșită sau erori - au implicat oameni, iar 83% dintre încălcări au implicat actori negativi externi. „Raportul pe Internet Crime 2022” al Biroului Federal de Investigații a sugerat acest lucru Phishing atacurile s-au clasat pe primul loc, cu 300,497 de plângeri, urmate de încălcări ale datelor cu caracter personal, care au dus la o pierdere de 52 de milioane de dolari. Instruirea adecvată de conștientizare a securității poate preveni și minimiza aceste tipuri de incidente, dând putere angajaților să fie proactivi în identificarea și abordarea potențialelor amenințări.
• Reduce erorile umane. Experții în securitate cibernetică sunt în general de acord oamenii tind să fie cauza principală a majorității incidentelor. Instruirea de conștientizare a securității poate echipa angajații cu cunoștințele, abilitățile și mentalitatea necesare pentru a reduce erorile umane, făcând organizațiile mai rezistente împotriva amenințărilor de securitate.
• Cultivează o mentalitate de securitate cibernetică. În ciuda numărului de riscuri existente, organizațiile pot ajuta la prevenirea incidentelor sau la reducerea efectului atacurilor de succes, educându-și angajații cu privire la modul de identificare a riscurilor de securitate cibernetică, de a evita atacurile potențiale și de a răspunde în mod corespunzător la un eveniment cibernetic.
• Previne pierderea și deteriorarea datelor. Formarea eficientă de conștientizare a securității le permite angajaților să înțeleagă semnificația salvgardarea datelor sensibile; prevenirea scurgerii de informații de identificare personală, proprietate intelectuală și resurse financiare; și menținerea reputației mărcii companiei.

[Conținutul încorporat]

Care este diferența dintre conștientizarea securității și instruirea în materie de securitate?

Termenii conștientizarea securității și instruire de securitate sunt strâns legate, dar au diferențe vizibile:

• Conștientizarea securității este procesul de educare și direcționare a atenției unui angajat asupra problemelor legate de securitate din interiorul unei organizații. Angajații care sunt conștienți de preocupările de securitate sunt mai înclinați să se simtă responsabili pentru menținerea securității, să înțeleagă importanța acesteia și sunt conștienți de consecințele și acțiunile disciplinare ale nerespectării.
• Instruire de securitate, pe de altă parte, se concentrează pe transmiterea de cunoștințe și abilități specializate membrilor personalului, astfel încât aceștia să își poată îmbunătăți capacitatea de a recunoaște și de a aborda eficient problemele de securitate. Scopul principal al instruirii în domeniul securității este de a oferi sfaturi utile cu privire la cele mai bune practici de securitate, inclusiv cum să gestionați informațiile sensibile în mod corespunzător, să identificați e-mailurile de tip phishing și să dezvoltați obiceiuri de navigare sigure.

Pe scurt, conștientizarea securității încurajează o cultură de securitate și o mentalitate în cadrul unei organizații, în timp ce formarea în domeniul securității oferă abilități necesare pentru a gestiona și a atenua riscurile de securitate.

Ce ar trebui să includă o formare puternică de conștientizare a securității?

Un program eficient de formare pentru conștientizarea securității cibernetice ar trebui să ajungă la lucrătorii care au diferite grade de aptitudini tehnice și cunoștințe în domeniul securității cibernetice, precum și stiluri diferite de învățare.

Programul de formare ar trebui să aibă mai multe fațete, cu o colecție de lecții și oportunități de învățare, astfel încât să implice toată lumea din companie. În plus, un program cuprinzător include conținut bazat pe roluri, oferind materiale de instruire adaptate nevoilor rolului unui angajat, precum și părților interesate terțe, cum ar fi partenerii de afaceri și lucrătorii contractuali, pentru a se asigura că acești indivizi nu pun organizația. la risc.

Programele eficiente au următoarele componente cheie:

• Conținut educațional. Aceasta ar trebui să varieze de la material scris la sesiuni interactive de învățare online la gamification astfel încât lucrătorii să poată accesa informații în formatele pe care le învață cel mai bine, fie că este vorba de formate audio, vizuale sau alte formate. Conținutul ar trebui să includă lecții și module cu diferite grade de complexitate, astfel încât lucrătorii să poată accesa cele mai relevante informații în funcție de rolurile lor.
• Urmărire și mesagerie continuă. Acest lucru le reamintește angajaților politicile de securitate cibernetică ale companiei. Oferă scurte actualizări despre cum să identifice și să evite riscurile și încălcările de securitate, precum și cum să gestionezi posibilele probleme de securitate și îi avertizează cu privire la orice amenințări emergente.
• Testare de atac simulat. Utilizarea încercări de phishing, tacticile de inginerie socială, sondajele, chestionarele și alte evaluări ajută la evaluarea cât de bine aderă forța de muncă a întreprinderii la politicile de securitate cibernetică ale organizației și identifică orice persoană care nu respectă cele mai bune practici de securitate cibernetică.
• Raportarea și măsurarea implicării lucrătorilor. Aceasta monitorizează eficacitatea instruirii organizației de conștientizare, ajutând la identificarea oricăror puncte slabe ale programului și domeniile care necesită consolidare.
• Cerințe specifice conformității. Acestea asigură că angajații sunt bine informați cu privire la cerințele specifice de conformitate și la importanța respectării acestora. De exemplu, standardele de conformitate, cum ar fi Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate și Standardul de securitate a datelor cu cardul de plată, au elemente speciale despre care utilizatorii finali trebuie să fie educați în timpul formării de conștientizare a securității.

Un program de antrenament bun are de obicei un amestec de următoarele:

• Educație formală, cum ar fi lecții structurate și instruire obligatorie.
• Oportunități de învățare informațională, cum ar fi e-mailuri săptămânale care conțin sfaturi, actualizări de politici și actualizări de știri privind securitatea cibernetică.
• Sesiuni experiențiale și chiar gamification, în care lucrătorii trebuie să lucreze prin simulări și scenarii de phishing pentru a-și testa înțelegerea și a-și consolida pregătirea, astfel încât să fie mai bine pregătiți să facă față provocărilor de securitate cibernetică din lumea reală.

Cum să creați și să implementați un program de instruire de succes în domeniul securității

Organizațiile își pot îmbunătăți postura de securitate prin crearea unui program de conștientizare a securității de succes. Pașii importanți în crearea acestui program includ următorii:

• Ofițerul șef de securitate a informațiilor (CISO) și echipa de securitate cibernetică a organizației ar trebui să fie lideri în elaborarea unui program de formare de conștientizare a securității cibernetice și ar trebui să angajeze alți directori pentru a obține sprijin și pentru a înțelege cele mai semnificative riscuri pe care ar trebui să le abordeze programul propus. Aceste riscuri ar trebui să se alinieze cu strategia globală de securitate cibernetică a organizației pe care CISO o dezvoltă împreună cu alte C-suite colegi.
• CISO ar trebui să lucreze împreună cu departamentul de resurse umane (HR), care de obicei conduce formarea și dezvoltarea la locul de muncă, pentru a se asigura că organizația are un program bine format și eficient.
• Lucrătorii însărcinați cu dezvoltarea programului ar trebui să încorporeze amenințările specifice cu care se confruntă industria și organizația lor atunci când elaborează un program de formare, deoarece acestea pot varia în funcție de verticală.
• Programul de instruire pentru conștientizarea securității ar trebui să fie cuprinzător, începând cu lecții rudimentare și trecând până la materiale avansate. De asemenea, ar trebui să includă un proces de evaluare care să ajute organizațiile să identifice nivelul de conștientizare a securității cibernetice a unui lucrător și, ulterior, să creeze o cale de învățare pentru aceștia.
• Liderii organizaționali trebuie să ia în considerare faptul că diferitele roluri din cadrul organizației se confruntă cu diferite riscuri și amenințări în timpul dezvoltării programului de formare. De exemplu, un angajat entry-level cu acces limitat la date sensibile și la sistemele IT de bază probabil întâmpină mai puține scenarii riscante decât un director de nivel înalt care lucrează cu informațiile și sistemele financiare proprietare ale organizației sau un angajat senior IT care este autorizat să lucreze la tehnologiile de bază care permit afacerea.
• Organizațiile mai mari cu departamente de HR semnificative ar putea fi capabile să dezvolte și să livreze programul lor de formare de conștientizare sau cel puțin să-l completeze cu resurse externe. Multe organizații aleg să externalizeze majoritatea sau toată formarea, totuși, considerând că aceasta este cea mai eficientă și eficientă modalitate de a implementa educația necesară pentru angajații săi. În orice caz, liderii organizaționali ar trebui să aibă mecanisme pentru a măsura dacă instruirea este eficientă atât la nivel de întreprindere, cât și la nivel individual de angajat.

Cum să promovezi o cultură a muncii care acordă prioritate conștientizării securității

În conformitate cu Revista Cybercrime previziunilor, companiile vor pierde aproape 10.5 trilioane de dolari anual până în 2025, sau 19,977,168 de dolari în fiecare minut, din cauza criminalității cibernetice. Prin urmare, a cultură puternică a securității cibernetice este vital pentru orice organizație pentru a-și asigura informațiile, activele și reputația.

Următoarele pot ajuta companiile să promoveze o cultură a muncii centrată pe securitate:

• Incluziune. Angajatorii ar trebui să se asigure că toată lumea din cadrul organizației înțelege că securitatea le aparține. Securitatea ar trebui să fie încorporată în viziunea și misiunea companiei pentru a sublinia importanța acesteia la toate nivelurile, de la directori până la angajații din prima linie.
• Instruire și educație. Întreprinderile ar trebui să stabilească inițiative de instruire de rutină de conștientizare a securității pentru a instrui angajații cu privire la potențialele amenințări de securitate și cele mai bune practici. Aceste programe pot acoperi subiecte precum identificarea tentativelor de phishing, menținerea parolelor securizate și protejarea datelor.
• Comunicare și actualizări regulate. Angajatorii ar trebui să notifice în mod obișnuit personalul cu privire la actualizările, incidentele, știrile și mementourile legate de securitate, folosind o varietate de medii, inclusiv e-mailuri, buletine informative, postere și portaluri intranet.
• Ciclul de viață al dezvoltării securității (SDL). Organizațiile ar trebui să stabilească un SDL pentru a ghida practicile de securitate în dezvoltarea de software și sisteme. Un SDL este esențial pentru crearea unei culturi de securitate de lungă durată și implică cerințe de securitate, modelarea amenințărilor și teste de securitate.
• Campioni de securitate. Organizațiile pot desemnează persoane care își pot educa colegii, faceți eforturi pentru o mai mare conștientizare a securității și acționați ca punct de contact pentru probleme sau întrebări legate de securitate.
• Stimulente și recunoaștere. Prin recompensarea și recunoașterea persoanelor care excelează în conștientizarea și practicile de securitate, organizațiile pot recunoaște succesul. Micile stimulente, cum ar fi recompensele în numerar, pot motiva și promova o cultură pozitivă a securității.

Cât de des ar trebui să aibă loc cursuri de conștientizare a securității?

Experții sunt de acord că formarea de conștientizare a securității cibernetice ar trebui să fie continuă în cadrul întreprinderii. Formarea continuă îi ajută pe lucrători să-și dezvolte o mentalitate de securitate, astfel încât să poată rămâne sârguincioși și oferă organizațiilor oportunități de a educa lucrătorii cu privire la politicile și procedurile actualizate și de a-i alerta cu privire la noile amenințări și riscuri cu care s-ar putea confrunta.

Pentru a obține o formare continuă și eficientă în domeniul securității, trebuie luate în considerare următoarele puncte:

• Potrivit unei lucrări de la Advanced Computing Systems Association, intitulată „O investigație a conștientizării și educației privind phishingul de-a lungul timpului: când și cum să reamintiți cel mai bine utilizatorilor”, întreprinderile ar trebui, în mod ideal, să efectueze cursuri de conștientizare a securității cibernetice la fiecare patru până la șase luni. Cercetările au arătat că angajații pot identifica în continuare e-mailurile de phishing la patru luni de la formarea inițială, dar păstrarea cunoștințelor începe să scadă după șase luni.
• Organizațiile ar trebui să stabilească un program pentru a determina ce instruire să ofere cărora angajații și cât de des trebuie să aibă loc instruirea. De exemplu, instruirea de conștientizare a securității ar trebui să aibă loc în mod ideal atunci când un nou angajat se alătură companiei ca parte a unei obligații Onboarding proces.
• Mulți experți pledează, de asemenea, pentru un proces de certificare cel puțin anual pentru angajați, cu o combinație de lecții formale și informale disponibile pe tot parcursul anului, pentru a păstra în minte cele mai bune practici de securitate pentru lucrători.
• Atunci când evaluările, evaluările sau testarea indică o lipsă a celor mai bune practici, organizațiile ar trebui să ia în considerare formarea obligatorie pentru întreaga întreprindere sau pentru angajați individuali.
• Organizațiile pot opta pentru utilizarea a invatand sistemul de management pentru a pune la dispoziția angajaților conținutul de formare ușor și ușor.

Costurile și resursele de instruire pentru conștientizarea securității

Costul programelor de formare pentru conștientizarea securității întreprinderii poate varia de la gratuit la mii de dolari anual. Organizațiile mici ar putea folosi resurse externe gratuite sau ieftine, în combinație cu personalul lor existent, pentru a crea un program educațional de bază.

Organizațiile mai mari cu formatori dedicati de conștientizare a securității cibernetice lucrează adesea cu furnizori de top pentru a oferi lecții complete și personalizate în mod continuu, împreună cu programe de testare și evaluare a echipei de securitate. niste organizațiile folosesc phishing simulat și alte simulări de atac, adesea denumite campanii de phishing, pentru a evalua și întări comportamentele pozitive ale utilizatorilor.

Diferiți furnizori oferă, de asemenea, resurse și servicii de formare pentru conștientizarea securității cibernetice. Organizațiile guvernamentale și nonprofit oferă, de asemenea, informații gratuite și la prețuri reduse. Resursele pentru desfășurarea și a afla mai multe despre formarea de conștientizare a securității includ următoarele:

Lipsa educației adecvate în materie de securitate cibernetică este o problemă comună în peisajul amenințărilor în continuă evoluție. Învață cum să creați un program eficient de formare în domeniul securității cibernetice pentru a insufla angajaților conștientizarea securității.