S tehnologijo, ki se vedno bolj prepleta z vsemi vidiki poslovanja, vam lahko CNET @ Work pomaga - odjemalcem za mala podjetja z manj kot petimi zaposlenimi - začnete.

Zdrava pamet le gre tako daleč in morate se prepričati, da najboljše prakse v zvezi z varnostjo ne gredo v eno uho in iz druge. Tukaj je načrt napada.

Ko gre za kibernetsko varnost, podjetje za programsko opremo AutoClerk poskrbi, da bo 25 zaposlenih vedelo, da so na prvi vrsti nekaj podobnega bitki za življenje in smrt.

"Če se ne zavedajo kibernetske varnosti, preden jih zaposlimo, jih bomo zavedali, " je povedala Charlotte Gibb, solastnica razvijalca Walnut Creek iz Kalifornije, ki dobavlja programsko opremo hotelski in gostinski industriji. "Naše stranke so pogosto tarča kibernetskih napadov in zato moramo biti zelo pozorni na to, kako bi to lahko vplivalo na naše stranke. Kibernetsko varnost jemljemo zelo resno."

Morala bi. Cybercriminals so poseben cilj malih podjetij. V letu 2011 je bilo približno 18 odstotkov phishing kampanj usmerjenih v mala podjetja; Od takrat se je število povečalo na več kot 43 odstotkov, pri čemer je lažno predstavljanje zdaj glavno sredstvo za napade na ransomware in zlonamerno programsko opremo.

Grožnje niso omejene na lažna sporočila. Večina kršitev varnosti izhaja iz neprevidnih odločitev zaposlenih. Kibernetiki bodo poskušali prodreti v organizacijo s pomočjo taktike socialnega inženiringa, da bi pridobili zaupanje zaposlenih. Ali pa lahko samo zapustijo okužene USB flash pogone, v upanju, da jih bo nekdo izbral in ga priključil v svoj računalnik. Eden od na novo priljubljenih ugank je kompromis za poslovno e-pošto, v katerem prevaranti ciljajo na zaposlene, ki imajo dostop do finančnih sredstev podjetja, da bi jih prevarali v pošiljanje bančnih nakazil za ponarejene bančne račune.

Vse lahko uničijo. Približno 60 odstotkov malih podjetij ne more vzdrževati svojega poslovanja več kot šest mesecev po tem, ko je doživelo kibernetski napad.

Premagovanje grožnje je odvisno od tega, da zaposlene prepričate, da bodo v praksi izvajali tisto, kar so učili o kibernetski varnosti. Že takrat še vedno ni zagotovil, da bodo zaposleni naredili pravo stvar.

»Razen, če ste pripravljeni, da svoje delovno mesto naredite neprijetno in obesite na nekoga ramo, res ne veste, « je dejal Gibb. "V bistvu morate zaupati svojim zaposlenim. V nekem trenutku morate imeti zaupanje pri ljudeh, ki ste jih zaposlili, ker jih zaupate svojim strankam in kritičnim informacijam."

Sprejem sporočila

To je priljubljena - in natančno - kliše v varnostni industriji, da so zaposleni prva obrambna linija podjetja pred zlonamerno ali kriminalno dejavnostjo. Zato je bistveno, da pridigate evangelij, dokler najboljše prakse v zvezi s kibernetsko varnostjo ne postanejo drugačna za vaše ljudi.

Izobraževanje je ključ za poučevanje zaposlenih o skupnem občutku odgovornosti za podatke, s katerimi delajo. Vsaka kampanja bi morala postati del stalnega procesa. Medtem ko lahko nekatera mala podjetja menijo, da jim primanjkuje sredstev, obstajajo načini za usmerjanje učinkovite kampanje za izobraževanje o kibernetski varnosti, ne da bi zlomili banko.

● Ne odločite se za taktiko prestraševanja. Cilj je zgraditi kulturo kibernetske zavesti, zato ozaveščenost o varnosti obravnavati kot tržno akcijo z namenom prepričati.

● Začnite majhno z nekaj videoposnetki ali infografikami, s katerimi boste sprožili stvari. Vključite plakate, natečaje in druge opomnike, s katerimi boste pripeljali domov preprosto razumljivo sporočilo: varnost je vsakogar osebna odgovornost.

● Ne zapravljajte časa s pošiljanjem dolgih zapisov, ki se bodo prezrli. Naj bo zabavno, naj bo kratko. Skušate zaposlene poučiti o najboljših praksah, ne pa jih prisiliti, da jedo špinačo. Ko se vsi lahko smejejo, se lahko učijo hkrati.

● Spodbujanje teme s četrtletnimi kampanjami za spremljanje, ki poudarjajo ozaveščenost o kibernetski varnosti. Nadaljujte z usposabljanjem tako, da preizkusite, kako dobro se je lekcija naučila. Pošljite občasne lažne e-poštne naslove, da preverite, koliko zaposlenih še vedno ne prepozna nevarnosti.

Spreminjanje vedenja zaposlenih lahko zveni kot zastrašujoča naloga. Toda tudi če ne morete odpraviti vseh kibernetskih napadov proti organizaciji, lahko še vedno spodbujate pogoje, ki pomagajo zmanjšati nevarnost. Če se zaposleni umaknejo iz programa z resnejšo ceno temeljne kibernetske varnosti, to že napreduje.

Korenje in palice

"Kršitev varnosti bi uničila naš ugled in utegnila propasti podjetje, " pravi David Cox, izvršni direktor podjetja LiquidVPN, dobavitelj VPN v Cheyenneju v Wyomingu.

To je trezven scenarij in zato razporeja stalno mešanico korenja in palic, da bi svoje osebje obdržal na prstih. Na primer, Cox občasno spusti napravo za vbrizganje pritiska na tipko, preoblečeno v USB palec v hodniku, kopalnici ali preddverju. »Če ga nekdo priključi na eno od naših delovnih postaj, dobim poročilo, ki vsebuje njihov uporabniški račun in ID naprave, « je dejal.

Prav tako naroči storitev tretje osebe, ki je specializirana za lažne napade z lažnim predstavljanjem in zlonamerno programsko opremo. Če nekdo ne opravi preizkusa ali ga zadane pravi napad, ga potegnejo vstran in se pogovorijo, da ugotovijo, zakaj mu je to uspelo.

"Trudimo se pokazati, kaj bi se lahko zgodilo, če kibernetske varnosti ne bodo vzeli resno in jaz nagradim zaposlene, ki so proaktivni, " pravi Cox.

Istočasno, če delavec naredi nekaj izjemnega ali nekako dokaže visoko stopnjo ozaveščenosti o stanju, dobijo nagrado z vstopnicami za igro, večerjo za dva ali s darilnim certifikatom Amazon.

Toda na koncu so vložki preveliki, da bi se slaba uspešnost kibernetske varnosti nadaljevala v nedogled.

"Zaposlenim nudimo ustrezno usposabljanje in če ne morejo dokazati, da je zavedanje o razmerah, ki ga zahteva naša industrija, ne bi imel druge izbire, kot da jih pustim, " je dejal. "To se še ni zgodilo. In iskreno upam, da ne bo."