+48 22 439 03 20 biuro@greeneris.com

Badania pokazują, że zdecydowana większość organizacji przeprowadza niewiele szkoleń z zakresu świadomości bezpieczeństwa lub wcale. Przeciętna organizacja, jeśli przeprowadza treningi dla pracowników to robi to raz w roku, prawdopodobnie w ramach programu zgodności.

Z analizy danych zebranych przez KnowBe4, obejmujących dziesiątki milionów rekordów w ciągu 10 lat, wyraźnie wynika, że im częściej przeprowadzane są w organizacjach szkolenia i symulacje phishingu, tym lepiej jej pracownicy są w stanie wykryć ataki phishingowe.

Ponieważ phishing jest odpowiedzialny za 70% do 90% udanych naruszeń danych, do czasu znalezienia doskonałej obrony technicznej, szkolenie w zakresie świadomości bezpieczeństwa jest jedną z najlepszych rzeczy, jakie można zrobić, aby zmniejszyć ryzyko cyberbezpieczeństwa.

Jak często należy przeprowadzać szkolenia?

Dane są dość jednoznaczne co do tej odpowiedzi – tak często, jak to możliwe. Uważamy, że najlepszym rozwiązaniem dla większości organizacji jest szkolenie raz w miesiącu z cotygodniowymi symulowanymi kampaniami phishingowymi. Nowi pracownicy powinni przejść długie, ogólne szkolenie z zakresu cyberbezpieczeństwa wraz ze specjalnym szkoleniem na temat ataków phishingowych. Szkolenie antyphishingowe powinno obejmować przykłady popularnych ataków phishingowych i uczyć uczestników, jak rozpoznawać, łagodzić i odpowiednio zgłaszać wszystkie ataki phishingowe. Dłuższe szkolenie powinno być powtarzane co najmniej raz w roku. Większość firm wymaga tego od każdego pracownika w grudniu lub styczniu, ale tak naprawdę może to być w dowolnym momencie.

Symulowane kampanie phishingowe należy przeprowadzać co najmniej raz w miesiącu, a najlepiej raz w tygodniu. Kampanie te powinny odzwierciedlać najczęstsze ataki w świecie rzeczywistym. Najlepszym scenariuszem byłoby wykorzystanie niedawnego ataku phishingowego na organizację i wysłanie testu symulacyjnego naśladującego rzeczywisty phishing. Można to łatwo zrobić za pomocą technologii PhishFlip. PhishFlip bierze zgłoszony w świecie rzeczywistym phishing, zastępuje złośliwe linki URL symulowanymi linkami, które są nieszkodliwe, a następnie wysyła je do użytkowników. Można szybko określić, ilu użytkowników zostałoby oszukanych przez rzeczywisty phish, gdyby został on wysłany do wszystkich użytkowników.

Jeśli ktoś się zastanawia, zdecydowanie powinien regularnie przeprowadzać symulowane kampanie phishingowe. Wiele lat temu wiele firm zastanawiało się, czy muszą przeprowadzać symulacje phishingu, a niektóre nawet martwiły się konsekwencjami prawnymi. Tak długo, jak informuje się swoich użytkowników, że przeprowadzane są symulowane testy phishingowe, konsekwencje prawne nie powinny stanowić problemu.

Z pewnością jednak należy przeprowadzać symulowane kampanie phishingowe. Obecnie robi je prawie każda organizacja, ale wciąż jest kilka, które się z tym wstrzymują. Dane KnowBe4 pokazują, że edukacja zapewniana przez symulowane testy phishingowe może być już edukacją dla użytkownika niż samo ogólne szkolenie w zakresie cyberbezpieczeństwa. Jest to szczególnie prawdziwe, jeśli symulowane testy phishingowe dają użytkownikom, którzy ich nie przeszli natychmiastową informację zwrotną na temat tego, co przegapili i oznacza te miejsca czerwoną flagą (jak pokazano poniżej).

Nie ma nic lepszego niż natychmiastowe sprawdzenie, co zostało pominięte i na czym należy się skupić następnym razem.

Podstawowe zalecenie dotyczące najlepszych praktyk jest takie, że dłuższe szkolenie odbywa się w momencie zatrudnienia pracownika, a następnie co roku. Krótsze szkolenia i symulowane testy phishingowe przeprowadzane są co najmniej raz w miesiącu w ciągu roku. Organizacje osiągające najlepsze wyniki przeprowadzają comiesięczne szkolenia i cotygodniowe symulacje phishingu, a niektóre robią to nawet częściej. Według danych KnowBe4, użytkownicy tych organizacji są najlepsi w wykrywaniu wiadomości phishingowych. Mimo to ten poziom szkoleń i symulacji phishingu może być zbyt duży dla większości organizacji. W pewnym momencie użytkownicy mogą się sprzeciwić i argumentować, że ich wydajność operacyjna jest kwestionowana.

Podsumowanie

Chociaż uważamy, że każda organizacja powinna przeprowadzać co najmniej comiesięczne szkolenia i symulowane testy phishingowe, to od Ciebie zależy, o ile więcej zrobisz poza tym zaleceniem dotyczącym najlepszych praktyk. Niektóre organizacje rozwijają się dzięki częstszym szkoleniom i testom, a inne z mniejszą częstotliwością. Każda organizacja będzie musiała znaleźć swój najlepszy cykliczny rytm. Możemy jednak jednoznacznie stwierdzić, że szkolenia i testy powinny odbywać się co najmniej raz w miesiącu. Każda mniejsza częstotliwość znacznie osłabia rozpoznawanie wiadomości phishingowych.

Jeśli Twoja organizacja przeprowadza tylko coroczne szkolenia (lub nie przeprowadza żadnych szkoleń) i rzadziej niż raz w miesiącu symuluje kampanie phishingowe, spróbuj przenieść swój program szkoleń w zakresie świadomości bezpieczeństwa na co najmniej miesięczną kadencję.

Zobacz także:

Zarządzanie tożsamością i dostępem z OKTA

Zarządzanie tożsamością i dostępem z OKTA

W dzisiejszym cyfrowym świecie, gdzie firmy polegają na aplikacjach i danych w chmurze, bezpieczeństwo i zarządzanie tożsamością stały się krytycznymi kwestiami. Tradycyjne metody uwierzytelniania, takie jak nazwy użytkowników i hasła, nie są już wystarczające, aby...

czytaj dalej