Сигурност

10 съвета за образоването на служителите относно киберсигурността

CIO Media

Киберзаплахите за фирмите обикновено се смята, че произтичат от външни програмисти, пишещи зловреден код с цел кражби от корпоративното разузнаване, източване на поверителна информация за клиентите и сдобиване с финансовите данни. Понякога заплахата в действителност произлиза отвътре, от невежеството на служители или нехайно допускане на киберпрестъпници в системата.

Ето няколко съвета на Kaspersky Labs как да образовате своите служители относно киберсигурността. Важно е да ги обучите преди да е станало проникване в данните. Създайте политики, които допускат инфилтриране и след това помогнете на служителите да научат какво да правят, за да пазят фирмата в безопасност.#1 Редовно разговаряйте със служителите за киберсигурност.

 • Обяснявайте потенциалния ефект, който киберпрестъпление би имало върху дейността на организацията и подробно говорете за задълженията на служителите, особено при ползване на мобилни телефони.

 • Не е достатъчно да изисквате годишен преглед и подписване под „Прочетох и разбирам ИТ политиката на компанията“.

#2 Помнете, че висшите мениджъри и ИТ екипа също са служители.

 • Висшите мениджъри често стават мишена, защото:

- те имат достъп до повече информация;

- ИТ пречупва правилата за тях;

- щетата/финансовото възнаграждение може да е много по-голяма.

 • Със своята безкрайна власт над мрежата, ИТ екипът също е често уязвим.

#3 Обяснете на служителите, че докато полагате усилия да защитите инфраструктурата на компанията, системата е толкова надеждна, колкото най-слабата ѝ брънка.

 • Насърчете сътрудничеството, не само съгласуването.

 • Създайте достатъчно сложна политика, която да включва всички възможни посоки на атака.

 • Приемете, че хората допускат грешки и имат слабости.

#4 Провеждайте редовни, фокусирани срещи със служители за проучване на различни видове кибератаки.

 • Тъй като постоянно се назначават нови служители, обучението по киберсигурност трябва да е част от общите оперативни дейности.

 • Помислете за различни формати (например Lunch & Learn).

 • Направете го полезно

- правете препратки към актуални събития;

- използвайте социална медия.

#5 Предупредете служителите да отделят специално внимание на свързани със социално инженерство действия.

 • Внимавайте със социални медии, блогове и подозрителни линкове от неизвестни източници по време на работа или при използване на служебни устройства.

 • Много киберинциденти започват с телефонно обаждане от някой, представящ се за колега, задаващ привидно безобидни въпроси, събиращ информация за компанията и нейните дейности.

 • Киберпрестъпниците никога не използват едни и същи социални слабости.

#6 Подгответе служителите да разпознават кибератака.

 • Създайте си политики, допускащи възможността от инфилтриране. Имайте наличен план за възстановяване и редовно го обновявайте.

 • Споделяйте стъпка по стъпка инструкциите какво да се прави, ако служител смята, че е станал свидетел на киберинцидент.

 • Подготовката трябва да се прави преди да е станал инцидент.


Подготовката трябва да включва специфични правила за имейли, сърфиране в мрежата, мобилни устройства и социални мрежи.

Не забравяйте да включите основното:

 • Изключвайте физически своите машини от мрежата.

 • Уведомете администратора за подозрителни имейли, необичайна активност или при загуба на мобилно устройство.

 • Ако не можете да намерите номера за спешни ИТ случаи за 20 секунди, наизустете го.

#7 Никога не порицавайте или се присмивайте на служител, подал неправилно сигнал.

 • Дори да е фалшива аларма, важно е да не обезкуражавате служителите да сигнализират, в случай че стане истинска атака.

 • Ако фалшивата тревога се случва твърде често, подобрете подхода на обучени.

#8 В случай на инцидент, подайте сигнал към служителите възможно най-бързо

 • Липсата на прозрачност или неправилно реагиране при киберинцидент може значително да увеличи последствията от случилото се.

 • Дайте инструкции как да се говори с пресата и обществото за инцидент.

 • Разполагайте с вътрешен план и PR стратегия преди нещо да се е случило.

 • Помислете за застраховка срещу киберпрестъпления.

#9 Редовно тествайте познанията по киберсигурност на служителите.

 • Направете го според техния дигитален опит.

 • Направете го забавно и с поощрения за бърза реакция.

#10 Приканвайте, изслушайте и реагирайте на обратна връзка.

 • Ако принуждавате служителите да сменят паролите си всяка седмица, бъдете готови те да ги записват и афишират на работното си място.

 • Ако е твърде трудно да получат достъп до нещо, нужно им за тяхната работа, те ще намерят по-малко безопасни начини, като например използване на личен имейл, преносима памет или използват колеги да заобиколят ограниченията.

 • Научете основните причини за рисково поведение.


X