Οι εργαζόμενοι στις επιχειρήσεις, ανεξάρτητα από τον ρόλο τους, θα πρέπει να έχουν θεμελιώδη κατανόηση της ψηφιακής ασφάλειας για την προστασία του οργανισμού και των δεδομένων του. Γνώσεις σχετικά π.χ. με τη διαχείριση κωδικών πρόσβασης, το phishing, την προστασία δεδομένων, κ.λπ. θα πρέπει να συμπεριλαμβάνονται στις διαδικασίες εισαγωγής και συνεχούς εκπαίδευσης των εργαζομένων.
Τα τρωτά σημεία που βρίσκουν οι hackers για να «μπουν» σε οργανισμούς, εντοπίζονται είτε στην έλλειψη ασφαλών συστημάτων, είτε στην έλλειψη εκπαίδευσης των ανθρώπων.
Aς αναλύσουμε εδώ τις βασικές γνώσεις που πρέπει να έχουν οι εργαζόμενοι σχετικά με την ασφάλεια των επιχειρηματικών συστημάτων.
Αρχικά, η διαχείριση κωδικών (password management) είναι βασική γνώση. Οι εργαζόμενοι πρέπει να γνωρίζουν πώς να δημιουργούν ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό και σύστημα. Η ενθάρρυνση της χρήσης διαχειριστών κωδικών πρόσβασης για την ασφαλή αποθήκευση και διαχείρισή τους, είναι επίσης σημαντική. Όπου είναι δυνατόν, η ενεργοποίηση two-factor authentication (2FA) προσθέτει ένα επιπλέον επίπεδο προστασίας.
Μια δημοφιλής μέθοδος που χρησιμοποιούν οι hackers είναι το phishing. Εκπαιδεύστε τους εργαζομένους, ώστε να μπορούν να εντοπίζουν ύποπτα emails, μηνύματα ή τηλεφωνικές κλήσεις που επιχειρούν να κλέψουν ευαίσθητες πληροφορίες. Εάν ένας εργαζόμενος υποπτεύεται μια επίθεση phishing, θα πρέπει να γνωρίζει πώς να το αναφέρει στην ομάδα ασφαλείας και να αποφεύγει να κάνει κλικ σε συνδέσμους ή να ανοίγει συνημμένα.
Αν οι άνθρωποι δεν προσέχουν, κανένα firewall δεν αρκεί.
Οι επιτήδειοι εφευρίσκουν συνεχώς τρόπους για να παγιδέψουν θύματα. «Μέθοδοι» όπως pretexting, baiting και tailgaiting ξεγελούν ανυποψίαστους για να εισέλθουν σε συστήματα. Είναι απαραίτητη η εκπαίδευση και σε αυτές τις μεθόδους, είτε αναφερόμαστε σε εργασιακό είτε σε ιδιωτικό περιβάλλον. Με το pretexting κάποιος προσποιείται ότι είναι π.χ. από την τράπεζα, από την εφορία κλπ. με στόχο να αποσπάσει username/password/κωδικούς μιας χρήσης (OTP) από κάποιον εξουσιοδοτημένο χρήστη. Με το baiting κάποιος κακόβουλος αφήνει επίτηδες ένα USB stick σε κάποιο γραφείο μιας εταιρίας που έχει επισκεφθεί με κάποια άσχετη αιτία. Ο ανυποψίαστος χρήστης βάζει το USB στον υπολογιστή του και τότε ένα κατάλληλα τροποποιημένο πρόγραμμα εισέρχεται στα εσωτερικά συστήματα της εταιρίας, ώστε να πάρει πρόσβαση εκεί. Tο tailgaiting είναι η μέθοδος κατά την οποία «κολλάει» κάποιος μη-εξουσιοδοτημένος χρήστης πίσω από κάποιον ο οποίος έχει πρόσβαση π.χ. με κάρτα σε ένα χώρο. Έτσι, αποκτά πρόσβαση στον χώρο χωρίς να έχει την κατάλληλη πιστοποίηση για αυτό.
Τα data της εταιρίας σας είναι τόσο πολύτιμα όσο και η φυσική σας περιουσία. Οι εργαζόμενοι όχι μόνο θα πρέπει να κατανοήσουν τη σημασία της προστασίας ευαίσθητων επιχειρηματικών δεδομένων και δεδομένων πελατών, αλλά θα πρέπει επίσης να γνωρίζουν πότε να χρησιμοποιούν κρυπτογράφηση (π.χ. για αποθήκευση emails ή δεδομένων) για να διασφαλίσουν ότι τα δεδομένα προστατεύονται τόσο κατά τη μεταφορά όσο και σε κατάσταση ηρεμίας. Εκπαιδεύστε τους να χρησιμοποιούν εγκεκριμένες πλατφόρμες για την ασφαλή κοινή χρήση εγγράφων και αρχείων.
Εξασφαλίστε την ασφάλεια των συσκευών (device security). Βεβαιωθείτε ότι το λειτουργικό σας σύστημα, οι εφαρμογές και το λογισμικό προστασίας από ιούς ενημερώνονται τακτικά για να επιδιορθώνουν τα τρωτά σημεία ασφαλείας και ότι όλες οι συσκευές (υπολογιστές, κινητά τηλέφωνα κ.λπ.) είναι κλειδωμένες. Επίσης, ενημερώστε τους ότι θα πρέπει να αποφεύγουν την εγκατάσταση μη εγκεκριμένου λογισμικού ή εφαρμογών, που μπορεί να θέτουν κινδύνους για την ασφάλεια. Ορίστε μια διαδικασία για την άμεση αναφορά χαμένων ή κλεμμένων συσκευών και μάθετε πώς να σβήνετε απομακρυσμένα τα ευαίσθητα δεδομένα, εάν είναι δυνατόν. Κρίσιμης σημασίας είναι η φυσική ασφάλεια των συσκευών, π.χ. άδεια φυσικής πρόσβασης στον χώρο εργασίας, επίβλεψη ευαίσθητων εγγράφων ή ξεκλείδωτων συσκευών κ.λπ.
Πάρτε το social engineering στα σοβαρά. Η εκπαίδευση των εργαζομένων για την αποφυγή παροχής πρόσβασης σε συστήματα ή πληροφορίες και την επαλήθευση ταυτοτήτων, ειδικά όταν πρόκειται για αιτήματα πρόσβασης σε ευαίσθητα δεδομένα ή συστήματα, είναι επιτακτική.
Δεδομένου ότι η απομακρυσμένη εργασία είναι μια διαδεδομένη πρακτική, εκπαιδεύστε τους εργαζομένους σας να αποφεύγουν τη χρήση δημόσιου Wi-Fi για πρόσβαση σε εταιρικά συστήματα ή ευαίσθητα δεδομένα, εκτός εάν χρησιμοποιούν Virtual Private Network (VPN).
Η κουλτούρα ασφαλείας ξεκινά από μέσα, επομένως να είστε προσεκτικοί όταν ορίζετε αυστηρές διαδικασίες όσον αφορά την αναφορά περιστατικών. Ανεξάρτητα από την περιγραφή της εργασίας τους, όλοι θα πρέπει να γνωρίζουν τις διαδικασίες αναφοράς παραβιάσεων ασφάλειας ή ύποπτης δραστηριότητας στην ομάδα IT/ασφάλειας.
Με την προώθηση αυτών των βασικών πρακτικών ασφαλείας, οι εργαζόμενοι μπορούν να μειώσουν σημαντικά τον κίνδυνο παραβιάσεων της ασφάλειας και να συμβάλλουν στη διατήρηση
ενός ασφαλούς επιχειρηματικού περιβάλλοντος.