تريد أن تعرف إذا موظفيك والدهاء الأمن؟ تشغيل حملة التصيد الاحتيالي الخاصة بك

البشر لا يجب أن يكون الحلقة الضعيفة في سلسلة الأمن – وتشغيل تجارب وهمية هو وسيلة بالتأكيد النار لمنع هجمات التصيد وتسلل شبكة تصبح ناجحة.

وهنا ما يفعله أصحاب الروبوت عندما تفرج أبل اي فون الجديد؛ الضمان أبل لمقاومة للماء فون 7 لا يغطي الضرر السائل؛ 400 $ الهواتف الذكية الصينية؟ أبل وسامسونج تقف قبالة منافسيه رخيصة، ورفع الأسعار على أي حال؛ جوجل ديبميند يدعي معلما رئيسيا في صنع آلات تتحدث مثل البشر

وقليلون من شأنه أن ينكر الهجمات الإلكترونية هي الآن تهديدا رئيسيا للشركات في جميع أنحاء العالم. من الهدف إلى سوني، لاستباس إلى مصلحة الضرائب، يمكن استهداف الهجمات الإلكترونية أو ضرب عشوائيا في كل من الشركات والأفراد.

المشهد الأمني ​​في حالة ثابتة من التطور، ونحن غالبا ما يكون من الصعب على مواكبة. ليس هناك ما يكفي من المهنيين الأمنيين المهرة المتاحة في المواهب لحماية كافية كل شبكة الشركات، وعدد متزايد من الهجمات المفروضة على هذه الأهداف المربحة في كثير من الأحيان تسببت في تحول في إدارة الأمن، والآن ليس تماما عن إبقاء الدخلاء خارج؛ بدلا من ذلك، فإن معالجة الهجمات السيبرانية غالبا ما تدور حول السيطرة على الأضرار وإدارة المخاطر.

ويعد هذا تحولا هاما في كيفية النظر إلى الأمن السيبراني ككل. إذا قبلنا الفكرة القائلة بأن التسلل سيحدث – وهو مسألة وقت، وليس إذا – يمكننا أن ننظر في تحسين الدفاعات ولكن أيضا تثقيف الموظفين في كيفية منع هذه الهجمات بقدر ما نحن قادرون على ، في الوقت الذي تكون فيه واقعية في الوقت نفسه والتأكد من وجود إجراءات للتعامل مع الهجمات الإلكترونية عند وقوعها.

وفقا لمايك بوراتوفسكي، نائب رئيس خدمات الأمن السيبراني في فيديليس، كل جهاز والتكنولوجيا لديها نقاط الضعف – والمؤسسة يحتاج الموظفين المهرة والمعرفة لتشغيل وصيانة وتحديثها. ومع ذلك، فإن غالبية انتهاكات البيانات تحدث لأن شخصا ما لا تولي اهتماما. ونتيجة لذلك، يبقى الحفاظ على بيانات الشركات آمنة إلى وجود نهج فعال لتدريب الموظفين.

في جلسة أسئلة وأجوبة مع الموقع، علق بوراتوفسكي

وغالبا ما تحدث حملات التصيد الاحتيالي من خلال رسائل البريد الإلكتروني الاحتيالية التي تدعي أنها خدمات أو شركات مشروعة من أجل جذب الضحايا إلى جزء من المعلومات الحساسة. في حالة النقر على رابط ضار أو تنزيل برامج ضارة أو تفاصيل الحساب التي تم تسليمها، فإن ذلك قد يعطي المتسللين وسيلة للتسلل إلى شبكات الشركات – مما يضع بيانات النشاط التجاري والمعلومات الحساسة والأمان في خطر.

ومع ذلك، إذا تم تدريب الموظفين على التعرف على حملات التصيد الاحتيالي – من خلال التعليم والاختبارات وهمية – معدلات تسلل يمكن أن تكون أقل.

إذا كان لاعبو الشركات و كتوس مهتمون باستكشاف هذا المفهوم، أين يجب أن يبدأوا – دون الإضرار بشبكات الشركات؟ يقول بوراتوفسكي

وأود أن تشجيع الشركات على الإطلاق لتشغيل هجمات التصيد وهمية لتقييم مدى الأمن والدهاء موظفيها حقا. هذه ليست وقتا طويلا أو مكلفة بشكل خاص، وإذا قمت بإعدادها لنفسك (أو الحصول على شركة مهنية للمساعدة) ثم أنها لن تفعل أي ضرر، لكنها لا تجعل موظفيك التفكير في كيفية أنها دائما هدف محتمل .

ل سيو أو كتو، فإنه يمكن في كثير من الأحيان تكون ذات أهمية كبيرة فقط كم عدد الموظفين تفشل هذا النوع من التمارين الرياضية. ومع ذلك، فمن الأفضل لهم أن يفشلوا في بيئة آمنة، ويمكن بعد ذلك استخدام هذا النوع من التمارين لتبرير الدعم والتمويل الإضافي.

على المدى الطويل، ينبغي أن يتم التدريب على الأمن السيبراني أكثر من ذلك بكثير ولكن في أصغر “لدغات”. التدريب يمكن أن يكون بريدا إلكترونيا من سيسو، تذكير 10 دقيقة خلال اجتماعات الموظفين، أو حتى ملصق من قبل آلة القهوة فقط لتذكير الناس ليكون على بينة من التهديدات. تشغيل هذه البرامج الحصول على الموظفين التفكير في لماذا يمكن أن تعلق منظمتهم. وبمجرد فهم ذلك، يمكن أن يبدأ الأمن السيبراني في أن يكون منعكسا.

ومع ذلك، أليس فقط مسؤولية الأفراد الموظفين لمعرفة كيفية التعرف على التهديدات المحتملة عندما تهبط في صناديق البريد الخاصة بهم. ويعتقد المدير التنفيذي فيديليس أن الثقافة التي تركز على الأمن “تحتاج إلى أن تكون مدفوعة من أعلى إلى أسفل”، وبالتالي أولئك الذين في الجزء العلوي من السلسلة تحتاج إلى أن تكون مثالا للآخرين لمتابعة.

وقال بوراتوفسكي: “إذا كان قادة المنظمة لا يتبعون أفضل الممارسات، فلا ينبغي أن يفاجأوا عندما لا يرى الموظفون الأمن السيبراني كأولوية”. وفي رأيي أن رؤساء الأمن يجب أن يشملوا إدارات ووظائف أخرى ذات صلة عبر الشركة من أجل بناء طبقات متعددة من الدفاع.

عيد الأب 2015: حزمة هدية التكنولوجيا لأقل من 100 $؛ الشديدة دائرة الرقابة الداخلية علة يطالب إكلود سرقة كلمة السر؛ يوروبول توقيف 49 مزعوم مجرمي الإنترنت في حملة الاحتيال المالي؛ بويليكس طروادة يذهب فيلليس للتهرب من الكشف وإزالتها. القراصنة السيطرة على مضخات الطبية لإدارة جرعات مميتة

وسوف يكون الخطأ البشري دائما عاملا. الأخطاء تحدث، وبغض النظر عن مدى تثقيف الموظفين، وبعض الهجمات سوف تنزلق من خلال الشبكة. ولكن هل ينبغي مساءلة الموظفين عند حدوث هفوات أمنية؟

وفقا لبوراتوفسكي، العقاب قد يكون عكسيا

شخصيا، أنا لا أعتقد أن الموظفين يجب أن تأديب لأخطاء حقيقية، وبالتأكيد ليست المرة الأولى، وربما ليس للثاني إما. نحن بحاجة إلى أن نتذكر أن المهاجمين يعرفون ما يفعلونه وجيدة في ما يفعلونه. ولذلك يجب أن يكون المثال الأول أو الثاني حول التدريب العلاجي، حول التأكد من أن الموظفين لديهم المعرفة والوعي للقيام بالشيء الصحيح.

إذا استمرت الحوادث، ثم بالطبع يجب أن يكون هناك بعض العواقب. ومع ذلك، فإن التركيز على معاقبة أخطاء الموظفين غير عادل وغير مفيد. وتقع على عاتق المنظمة مسؤولية الموازنة بين تثقيف الموظفين وتخفيف المخاطر.

الأمن؛ كيف لا يمكن التحقق من خرق البيانات (ولماذا بعض تريد حقا لك الحصول على “بوند”)؛ الأمن؛ إعادة التفكير أساسيات الأمن: كيفية تجاوز فود؛ الابتكار؛؟ M2M السوق ترتد مرة أخرى في البرازيل؛ الأمن؛ مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

وردا على سؤال حول ما اذا كانت الشركات تأخذ امن الشبكات بجدية كافية، قالت السلطة التنفيذية

غالبية الشركات تأخذ الأمن على محمل الجد ولكن عندما يتعلق الأمر العنصر البشري وأعتقد أن هناك ميل العديد من الشركات لمجرد “التحقق من مربع”. وهم يديرون ساعتين من التدريب أو يتضمنون سياسة بشأن الأمن، ولكن هذا يعكس نهجا دنيا، ويخدش فقط ما هو مطلوب من حيث التدريب والتعليم من أجل تطوير ثقافة الأمن السيبراني حقا.

في نهاية المطاف يأتي إلى الناس والعمليات والتكنولوجيا. موظفيك يجب أن نفهم المخاطر الحقيقية جدا من الهجمات السيبرانية. وعلى أولئك الذين على المستوى التنفيذي أن يقدموا بعد ذلك العمليات والسياسات التي يمكن للموظفين الوقوف عليها كأساس لكيفية تصرفهم.

وأخيرا، يجب وضع تقنية قوية وموثوق بها لدعم موظفيك. كما ترون العملية والتكنولوجيا مهمة ولكن الناس يشاركون في كل شيء حتى التركيز على الحصول على الناس جزء الحق.

في حين أن المؤسسة ليست ملزمة قانونيا للكشف عن وجود خروقات البيانات والفشل الأمني، مع زيادة معدلات وتبادل البيانات التهديد يصبح أداة هامة في الحفاظ على سلامة الأعمال ككل، ثقافة الشركات الحالية في كثير من الأحيان الحفاظ على الهدوء قد تتغير.

وردا على سؤال حول ما اذا كان يتعين على الشركات ان تكشف عن اخفاقات فى النظام، قال بوراتوفسكي

وأعتقد أنه لا مفر من أن تكون الشركات ملزمة في نهاية المطاف من خلال التشريعات للكشف عن انتهاكات البيانات وتبادل البيانات التهديد. ونحن نرى أن بالفعل مع متطلبات المجلس الأعلى للتعليم. ومع ذلك، مثل أي شيء آخر هناك إيجابيات وسلبيات قوية للكشف عن انتهاكات البيانات. ومن الواضح أن تقاسم بيانات التهديد هو أكبر فائدة للكشف عن المعلومات، وبمجرد تقاسم هذه المعلومات والتشغيل يمكن أن نبدأ حقا إحداث تأثير.

الإفصاح عن خرق يسمح لنا أيضا أن نفهم من هو المستهدف ويعطينا التغيير ليكون استباقيا في دفاعنا.

وأعتقد أن واحدة من أكبر المخاوف الشركات لديها حول الكشف هو الواضح تأثير على أسعار أسهمهم والدعاوى القانونية المحتملة، ولكن بنفس القدر من الأهمية هو احتمال السمعة والعلامات التجارية الضرر. هذه تكلفة أصعب لتحديدها ولكن لا تزال تؤثر تأثيرا هائلا على أعمالهم.

تنتشر الأخبار أيضا بسرعة كبيرة ويمكن نشرها في كثير من الأحيان دون كل الحقائق. يمكن للشركة أن تكشف عن أنها كانت ضحية خرق، ولكن يستغرق وقتا طويلا لفهم كامل ما حدث وما هي البيانات المسروقة. وبمجرد أن يتم الإفراج عن الأخبار، وبطبيعة الحال القراء حريصون على التفاصيل لمتابعة و “مصادر لم يكشف عنه” أو “مصادر غير مخول للتعليق” يمكن أن تستخدم في بعض الأحيان لملء التفاصيل التي ثم نشرها حقيقة.

يمكن للمنظمات الكشف عن المعلومات الصحيحة عندما تصبح متاحة ولكن قد يكون الضرر بالفعل.

قراءة على: يختار الأعلى

كيف لا للتحقق من خرق البيانات (ولماذا بعض تريد حقا لك الحصول على “بوند”)

إعادة التفكير في أساسيات الأمن: كيفية تجاوز فود

؟ M2M السوق مستبعد مرة أخرى في البرازيل

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

Refluso Acido