Badania pokazują, że zdecydowana większość organizacji przeprowadza niewiele szkoleń z zakresu świadomości bezpieczeństwa lub wcale. Przeciętna organizacja, jeśli przeprowadza treningi dla pracowników to robi to raz w roku, prawdopodobnie w ramach programu zgodności.
Z analizy danych zebranych przez KnowBe4, obejmujących dziesiątki milionów rekordów w ciągu 10 lat, wyraźnie wynika, że im częściej przeprowadzane są w organizacjach szkolenia i symulacje phishingu, tym lepiej jej pracownicy są w stanie wykryć ataki phishingowe.
Ponieważ phishing jest odpowiedzialny za 70% do 90% udanych naruszeń danych, do czasu znalezienia doskonałej obrony technicznej, szkolenie w zakresie świadomości bezpieczeństwa jest jedną z najlepszych rzeczy, jakie można zrobić, aby zmniejszyć ryzyko cyberbezpieczeństwa.
Jak często należy przeprowadzać szkolenia?
Dane są dość jednoznaczne co do tej odpowiedzi – tak często, jak to możliwe. Uważamy, że najlepszym rozwiązaniem dla większości organizacji jest szkolenie raz w miesiącu z cotygodniowymi symulowanymi kampaniami phishingowymi. Nowi pracownicy powinni przejść długie, ogólne szkolenie z zakresu cyberbezpieczeństwa wraz ze specjalnym szkoleniem na temat ataków phishingowych. Szkolenie antyphishingowe powinno obejmować przykłady popularnych ataków phishingowych i uczyć uczestników, jak rozpoznawać, łagodzić i odpowiednio zgłaszać wszystkie ataki phishingowe. Dłuższe szkolenie powinno być powtarzane co najmniej raz w roku. Większość firm wymaga tego od każdego pracownika w grudniu lub styczniu, ale tak naprawdę może to być w dowolnym momencie.
Symulowane kampanie phishingowe należy przeprowadzać co najmniej raz w miesiącu, a najlepiej raz w tygodniu. Kampanie te powinny odzwierciedlać najczęstsze ataki w świecie rzeczywistym. Najlepszym scenariuszem byłoby wykorzystanie niedawnego ataku phishingowego na organizację i wysłanie testu symulacyjnego naśladującego rzeczywisty phishing. Można to łatwo zrobić za pomocą technologii PhishFlip. PhishFlip bierze zgłoszony w świecie rzeczywistym phishing, zastępuje złośliwe linki URL symulowanymi linkami, które są nieszkodliwe, a następnie wysyła je do użytkowników. Można szybko określić, ilu użytkowników zostałoby oszukanych przez rzeczywisty phish, gdyby został on wysłany do wszystkich użytkowników.
Jeśli ktoś się zastanawia, zdecydowanie powinien regularnie przeprowadzać symulowane kampanie phishingowe. Wiele lat temu wiele firm zastanawiało się, czy muszą przeprowadzać symulacje phishingu, a niektóre nawet martwiły się konsekwencjami prawnymi. Tak długo, jak informuje się swoich użytkowników, że przeprowadzane są symulowane testy phishingowe, konsekwencje prawne nie powinny stanowić problemu.
Z pewnością jednak należy przeprowadzać symulowane kampanie phishingowe. Obecnie robi je prawie każda organizacja, ale wciąż jest kilka, które się z tym wstrzymują. Dane KnowBe4 pokazują, że edukacja zapewniana przez symulowane testy phishingowe może być już edukacją dla użytkownika niż samo ogólne szkolenie w zakresie cyberbezpieczeństwa. Jest to szczególnie prawdziwe, jeśli symulowane testy phishingowe dają użytkownikom, którzy ich nie przeszli natychmiastową informację zwrotną na temat tego, co przegapili i oznacza te miejsca czerwoną flagą (jak pokazano poniżej).
Nie ma nic lepszego niż natychmiastowe sprawdzenie, co zostało pominięte i na czym należy się skupić następnym razem.
Podstawowe zalecenie dotyczące najlepszych praktyk jest takie, że dłuższe szkolenie odbywa się w momencie zatrudnienia pracownika, a następnie co roku. Krótsze szkolenia i symulowane testy phishingowe przeprowadzane są co najmniej raz w miesiącu w ciągu roku. Organizacje osiągające najlepsze wyniki przeprowadzają comiesięczne szkolenia i cotygodniowe symulacje phishingu, a niektóre robią to nawet częściej. Według danych KnowBe4, użytkownicy tych organizacji są najlepsi w wykrywaniu wiadomości phishingowych. Mimo to ten poziom szkoleń i symulacji phishingu może być zbyt duży dla większości organizacji. W pewnym momencie użytkownicy mogą się sprzeciwić i argumentować, że ich wydajność operacyjna jest kwestionowana.
Podsumowanie
Chociaż uważamy, że każda organizacja powinna przeprowadzać co najmniej comiesięczne szkolenia i symulowane testy phishingowe, to od Ciebie zależy, o ile więcej zrobisz poza tym zaleceniem dotyczącym najlepszych praktyk. Niektóre organizacje rozwijają się dzięki częstszym szkoleniom i testom, a inne z mniejszą częstotliwością. Każda organizacja będzie musiała znaleźć swój najlepszy cykliczny rytm. Możemy jednak jednoznacznie stwierdzić, że szkolenia i testy powinny odbywać się co najmniej raz w miesiącu. Każda mniejsza częstotliwość znacznie osłabia rozpoznawanie wiadomości phishingowych.
Jeśli Twoja organizacja przeprowadza tylko coroczne szkolenia (lub nie przeprowadza żadnych szkoleń) i rzadziej niż raz w miesiącu symuluje kampanie phishingowe, spróbuj przenieść swój program szkoleń w zakresie świadomości bezpieczeństwa na co najmniej miesięczną kadencję.
Zobacz także:
Potęga rozwiązania VMware SD-WAN by VeloCloud – Dynamic Multipath Optimization (DMPO)
Dynamic Multi-path Optimization (DMPO) Potężne rozwiązanie VMware SD-WAN by VeloCloud (zwane również VMware NSX SD-WAN) umożliwia przedsiębiorcom klasy Enterprise oraz oczywiście mniejszym organizacjom jak najlepsze jednoczesne wykorzystanie posiadanych łączy WAN (w...
Ridgebot
Czym jest Ridgebot? RidgeBot, stworzony przez firmę Ridge Security, to w pełni zautomatyzowany robot do testów penetracyjnych. Korzysta z technologii opartej na sztucznej inteligencji do oceny i identyfikacji luk bezpieczeństwa, obejmując nie tylko aplikacje, lecz...
Jak dobrze znasz swoją powierzchnię ataku? Pięć wskazówek, jak zmniejszyć ryzyko narażenia na ataki.
Czym jest powierzchnia ataku? Powierzchnia ataku to cały obszar organizacji lub systemu, który jest podatny na atak ze źródła zewnętrznego. Składa się ze wszystkich punktów dostępu, których nieautoryzowana osoba może użyć do wejścia do systemu. Obejmuje to wszystko,...