Wenn es um Bedrohungen der Cybersicherheit geht, rücken Insider-Bedrohungen in den Vordergrund und sind eine der Hauptursachen für Sicherheitsverletzungen. Eine Insider-Bedrohung bedeutet jedoch nicht, dass der Insider böswillige Absichten hat. In den meisten Fällen handelt es sich bei der Bedrohung um einen unwissenden Benutzer, der einen Fehler macht, z. B. auf eine Phishing-E-Mail reagiert, was wiederum zu einer Sicherheitsverletzung führt. Laut der Insider Data Breach Survey 2021 hatten 94 % der Unternehmen im vergangenen Jahr mit einem Insider-Datenverstoß zu kämpfen, und 84 % der Unternehmen haben einen Verstoß direkt durch menschliches Versagen erlitten. Die Bedrohungen durch Insider gehen über Phishing-Angriffe hinaus. Der IBM X-Force Threats Intelligence Index 2019 listet falsch konfigurierte Systeme, Server und Cloud-Umgebungen als eine der beiden häufigsten Methoden auf, mit denen versehentliche Insider Unternehmen für Angriffe anfällig machen. Menschliches Versagen lässt sich nicht ausschließen, aber durch klare Richtlinien für die Cybersicherheit und regelmäßige Mitarbeiterschulungen können Häufigkeit und Schweregrad von Vorfällen verringert werden.
Der erste Schritt, um die Rolle menschlichen Versagens bei Vorfällen im Bereich der Cybersicherheit zu verringern, besteht darin, eine Cybersicherheitsrichtlinie aufzustellen und die Mitarbeiter zu schulen, um ihnen die Gebote und Verbote der Cybersicherheit zu vermitteln. Nachfolgend finden Sie eine Liste mit zehn Punkten, die Sie in Ihre Richtlinie aufnehmen sollten, um Ihnen den Einstieg zu erleichtern.
1. Betonen Sie die Bedeutung der Cybersicherheit
Erklären Sie zunächst, warum Cybersicherheit wichtig ist und welche potenziellen Risiken bestehen. Der Diebstahl von Kunden- oder Mitarbeiterdaten kann für die betroffenen Personen schwerwiegende Folgen haben und auch das Unternehmen gefährden. Es ist wichtig, dass die Mitarbeiter schnell herausfinden können, wo sie einen Sicherheitsvorfall melden können. Verlassen Sie sich nicht darauf, dass sich die Benutzer daran erinnern, auf welcher internen Website sie die Kontaktinformationen suchen müssen, sondern stellen Sie sicher, dass sie sich an einer intuitiven Stelle befinden. Ersetzen Sie vielleicht das Passwort auf dem Zettel durch die Informationen, die für die Meldung eines Vorfalls erforderlich sind!
2. Effektive Passwortverwaltung lehren
Passwörter können das Cybersicherheitssystem eines Unternehmens entscheidend beeinflussen. Fügen Sie Richtlinien für Passwortanforderungen ein. Die NIST-Sonderveröffentlichung 800-63 Revision 3 enthält wesentliche Änderungen an den vorgeschlagenen Passwortrichtlinien. Weisen Sie Ihre Mitarbeiter darauf hin, dass sie nicht dieselben Passwörter für verschiedene Websites verwenden dürfen. Führen Sie das Gespräch. Wenn von den Mitarbeitern erwartet wird, dass sie sich mehrere Passwörter merken müssen, stellen Sie ihnen die erforderlichen Hilfsmittel zur Verfügung, um dies zu erleichtern. Ein Passwort-Manager ist von großem Wert. Die Multi-Faktor-Authentifizierung verringert die Auswirkungen eines kompromittierten Passworts, selbst wenn es sich um das Master-Passwort für den Passwort-Manager handelt.
3. Schulung der Mitarbeiter zur Erkennung von Betrügereien und zur Anwendung von Best Practices
Klären Sie Ihre Mitarbeiter über die verschiedenen Arten von Phishing-E-Mails und Betrügereien auf und erklären Sie ihnen, wie sie etwas Verdächtiges erkennen können. Wenn Mitarbeiter eine E-Mail erhalten, die ungewöhnlich aussieht, selbst wenn sie wie eine interne E-Mail eines anderen Mitarbeiters aussieht, müssen sie sich zuerst beim Absender erkundigen, bevor sie Anhänge öffnen oder auf Links klicken. Am besten ist es, sich telefonisch oder persönlich beim Absender zu vergewissern. Wenn E-Mail-Konten gekapert werden, antwortet der Angreifer auf eine Anfrage zur Gültigkeit der in der E-Mail enthaltenen Informationen. Wann immer möglich, sollten Sie auf die Website des Unternehmens gehen, anstatt auf einen Link in einer E-Mail zu klicken. Wenn eine E-Mail von LinkedIn beispielsweise einen Link enthält, geben Sie www.linkedin.com ein und melden Sie sich bei Ihrem Konto an, um die Nachricht anzuzeigen.
Darüber hinaus kann die Vermittlung allgemeiner Kenntnisse über bewährte Verfahren zum Schutz von Dateien und Geräten dazu beitragen, die Abwehrkräfte eines Unternehmens zu stärken. OPSWAT Die Akademie bietet kostenlose Kurse zu diesen bewährten Verfahren an und steht allen zur Verfügung, die mehr über OPSWAT-spezifische Technologien erfahren möchten.
4. Updates und Patches anwenden
Moderne Betriebssysteme, Anti-Malware-Programme, Webbrowser und andere Anwendungen aktualisieren sich regelmäßig, aber nicht alle Programme tun dies. Wenn Mitarbeiter nicht genehmigte Software installieren, kann es sein, dass die Abteilung IT nichts von ungepatchten, anfälligen Anwendungen auf ihren Geräten weiß. Es liegt in der Verantwortung der Abteilung IT zu überprüfen, ob die Betriebssysteme und Anwendungen auf dem aktuellen Stand der Patches und Versionen sind. Wird der Status von Endgeräten und Servern nicht sichergestellt, fällt dies in den Bereich der unbeabsichtigten Insider-Bedrohungen durch Fehlkonfigurationen von Systemen usw. Regelmäßige Schwachstellenscans und Systemüberprüfungen müssen durchgeführt werden.
5. Schutz von PII
Angreifer haben es oft auf vertrauliche Daten abgesehen, z. B. auf Kreditkartendaten, Kundennamen, E-Mail-Adressen und Sozialversicherungsnummern. Wenn diese Informationen außerhalb des Unternehmens versendet werden, ist es wichtig, dass die Mitarbeiter wissen, dass sie die Informationen nicht einfach per E-Mail versenden können. Es muss ein sicheres Dateiübertragungssystem verwendet werden, das die Informationen verschlüsselt und nur dem autorisierten Empfänger den Zugriff darauf ermöglicht. Eine noch sicherere Technologie wie die DLP vonOPSWAT kann dazu beitragen, potenzielle Datenschutzverletzungen und Verstöße gegen gesetzliche Vorschriften zu verhindern, indem sie sensible und vertrauliche Daten in Dateien und E-Mails erkennt und blockiert, einschließlich Kreditkartennummern und Sozialversicherungsnummern.
6. Computer und Geräte sperren
Wenn Mitarbeiter ihren Arbeitsplatz verlassen, müssen sie ihre Bildschirme sperren oder sich abmelden, um einen unbefugten Zugriff zu verhindern. Die Mitarbeiter sind dafür verantwortlich, ihre Computer zu sperren; die Abteilung IT sollte jedoch als Ausfallsicherung Zeitüberschreitungen bei Inaktivität konfigurieren. Laptops müssen auch physisch verschlossen werden, wenn sie nicht benutzt werden.
7. Secure Tragbar Media
Verlorene oder gestohlene mobile Telefone stellen eine erhebliche Gefahr für den Besitzer und seine Kontakte dar. Die Verwendung von Bildschirmsperren für diese Geräte ist unerlässlich. Speicher wie externe MicroSD-Karten und Festplatten in Laptops müssen verschlüsselt werden. Wenn tragbare Medien wie USB und DVDs mitgebracht werden, ist es wichtig, diese Geräte auf Malware zu scannen, bevor auf Ressourcen wie Arbeitscomputer und das Netzwerk zugegriffen wird. OPSWATDas Programm MetaDefender Kiosk bietet eine einfache Lösung zur Überprüfung der Sicherheit tragbarer Medien.
8. Verlorene oder gestohlene Geräte melden
Weisen Sie die Mitarbeiter darauf hin, dass gestohlene Geräte Angreifern Zugang zu vertraulichen Daten verschaffen können und dass die Mitarbeiter verlorene oder gestohlene Geräte sofort melden müssen. Oft kann die Abteilung IT die Geräte aus der Ferne löschen, so dass eine frühzeitige Entdeckung den Unterschied ausmachen kann.
9. Eine aktive Rolle übernehmen
Erklären Sie, dass die Mitarbeiter ihren gesunden Menschenverstand einsetzen und eine aktive Rolle bei der Sicherheit übernehmen müssen. Wenn sie verdächtige Aktivitäten bemerken, müssen sie diese ihrem IT Administrator melden. Wenn Mitarbeiter auf einen Fehler aufmerksam werden, auch wenn er schon passiert ist, können sie ihn an IT melden, damit Maßnahmen zur Schadensbegrenzung ergriffen werden können. Cybersicherheit ist eine Angelegenheit, die jeden im Unternehmen betrifft, und jeder Mitarbeiter muss eine aktive Rolle bei der Sicherheit des Unternehmens übernehmen. Wenn ein Mitarbeiter befürchtet, seinen Arbeitsplatz zu verlieren, weil er einen Fehler meldet, wird er dies wahrscheinlich nicht tun. Sorgen Sie dafür, dass die Mitarbeiter sich wohl fühlen, wenn sie Vorfälle melden.
10. Datenschutzeinstellungen anwenden
Informieren Sie die Mitarbeiter darüber, dass es sehr empfehlenswert ist, die Privatsphäre-Einstellungen in ihren Konten bei sozialen Medien wie Facebook und Twitter so weit wie möglich zu schützen. Bitten Sie sie, dafür zu sorgen, dass nur ihre Kontakte ihre persönlichen Daten wie Geburtsdatum, Standort usw. sehen können. Wenn Sie die Menge der online verfügbaren persönlichen Informationen einschränken, wird die Effektivität von Spear-Phishing-Angriffen verringert. Seien Sie besonders wachsam, wenn Sie irgendetwas auch nur annähernd Verdächtiges von einem LinkedIn-Kontakt bemerken. Ein kompromittiertes LinkedIn-Konto kann einige der raffiniertesten Social Engineering-Angriffe ermöglichen.
Die Einarbeitung neuer Mitarbeiter sollte eine Dokumentation der Cybersicherheitsrichtlinien und entsprechende Anweisungen umfassen. Führen Sie regelmäßig Schulungen zur Cybersicherheit durch, um sicherzustellen, dass die Mitarbeiter die Sicherheitsrichtlinien verstehen und sich daran erinnern. Eine unterhaltsame Methode, um sicherzustellen, dass die Mitarbeiter die Richtlinien verstehen, ist ein Quiz, in dem ihr Verhalten in Beispielsituationen getestet wird.
Neben der Information und Schulung der Mitarbeiter müssen Unternehmen dafür sorgen, dass ein System zur Überwachung und Verwaltung von Computern und Geräten vorhanden ist, dass Anti-Malware-Multiscanning eingesetzt wird, um die Sicherheit von Servern, E-Mail-Anhängen, Internetverkehr und tragbaren Medien zu gewährleisten, und dass Mitarbeiter vertrauliche Dateien sicher übertragen können. Lesen Sie mehr über weitere Maßnahmen, die Unternehmen ergreifen können, um einen sicheren Zugang im Büro und von zu Hause aus zu gewährleisten.
Wenn Sie mehr darüber erfahren möchten, wie OPSWAT zum Schutz Ihrer kritischen Infrastrukturen beitragen kann, vereinbaren Sie einen Termin mit einem unserer Experten für Cybersicherheit.
