Sicherheitsfehler passieren. Leider ist dies in der heutigen, immer verfügbaren, hochgradig digitalisierten Welt unvermeidlich und eine Frage des Ob, sondern des Wann. Wir müssen uns nur die Nachrichten in den ersten Wochen des Jahres 2023 ansehen, um mehrere hochkarätige Verstöße zu sehen, die gemeldet wurden, darunter T-Mobile und Mailchimp. Die Unternehmen, ihre Kunden und ihre Mitarbeiter müssen in den kommenden Monaten wegen zunehmender Phishing-Versuche von Bedrohungsakteuren, die Anmeldeinformationen aus dem Angriff verwenden, in höchster Alarmbereitschaft bleiben.
So viele dieser Verstöße werden Mitarbeitern angelastet, die durch Social Engineering betrieben werden. Hervorheben der Bedeutung für Mitarbeiter, sich ihrer Rolle in der Cybersicherheit bewusster zu sein, und für Unternehmen, über effektive, durchdachte Sicherheitsschulungen und intuitive Sicherheitssysteme zu verfügen. Benutzer sind die größte Schwachstelle eines Unternehmens; ein bekannter Angriffsvektor für Datenexfiltration, der leider nicht vollständig geschlossen werden kann. Heutzutage haben Organisationen eine Vielzahl von Benutzern und jeder einzelne Mitarbeiter, Partner oder Lieferant auf jeder Ebene innerhalb des Unternehmens kann einen Vektor darstellen, durch den ein Hacker in die Organisation eindringen kann.
Annahme einer Sicherheitskultur
Geschäftsführer müssen sich der Rolle, die sie spielen, viel bewusster sein und wie sie eine Sicherheitskultur fördern, während sie gleichzeitig umfassendere Sicherheitssysteme zum Schutz der Organisation vorantreiben. Diese Strategie sollte auch ein gründliches Verständnis dafür beinhalten, wer Zugriff auf was hat und wer kritische Systeme verwendet und mit ihnen interagiert. Sicherheit liegt im Wesentlichen in der Verantwortung aller, und wenn sich das Management auf allen Ebenen nicht daran hält und das Sicherheitsbewusstsein in der gesamten Organisation regelmäßig fördert, sollte dies vom Unternehmen als enorme Leistungslücke angesehen werden.
Gleichzeitig , menschliches Versagen wird allzu oft als Hauptgrund für einen Verstoß herangezogen, wobei Mitarbeitern vorgeworfen wird, nicht wachsam genug zu sein. Diese Denkweise legt nahe, dass sich das Unternehmen auf ein System verlässt, das von Menschen verlangt, sich perfekt zu verhalten und niemals Fehler zu machen, wie z. B. das Klicken auf Phishing-Links oder das Fehlleiten einer E-Mail. Das Team, das für den Entwurf und die Implementierung von Systemen verantwortlich ist, muss darüber nachdenken, was möglicherweise schief gehen könnte, basierend auf der Annahme, dass Fehler gemacht werden. Anhand eines klassischen Beispiels eines beschäftigten oder abgelenkten Mitarbeiters, der auf einen Link klickt, der zu einer Kompromittierung führt, sollte jedes Unternehmen überlegen, wie seine Systeme diesen Angriffsvektor erkennen und verhindern können, aber auch Maßnahmen ergreifen, um den Angriff zu stoppen und einzudämmen, wenn er unvermeidlich ist kommt durch die Abwehr.
Vergifteten Kaffee trinken
Um es anders zu sehen: Wenn ein Kunde einen vergifteten Kaffee bekommt, ist es die Schuld des Kunden, wenn er ihn trinkt ? Nein, wir würden im Allgemeinen dem System die Schuld geben, das so etwas überhaupt erst ermöglicht hat. In Bezug auf das Risikomanagement ist es sehr unwahrscheinlich, dass der Kunde vergiftet wird, aber wenn es passieren sollte, müssten systemische Änderungen vorgenommen werden, die verhindern, dass dies erneut passiert, anstatt die Person dafür verantwortlich zu machen, den vergifteten Kaffee getrunken zu haben.
Damit das Sicherheitsbewusstsein funktioniert, muss es sich auf das gesamte Unternehmen erstrecken und gleichzeitig berücksichtigen, wie die Mitarbeiter ihre Arbeit erledigen, vorausgesetzt, dass sie müde und gestresst werden und anschließend Fehler machen. All diese Szenarien muss das System berücksichtigen. Das perfekte System gibt es nicht, aber Unternehmensleiter müssen dem Verhalten Rechnung tragen, indem sie systemische Änderungen einbauen und auf eine umfassende Verteidigung abzielen, wenn sich Bedrohungen entfalten.
Zusätzlich muss die Sicherheitskultur engagierte und durchdachte Schulungen beinhalten Vermeiden Sie Schuldzuweisungen und die Bestrafung derjenigen, die in die Falle eines Verbrechers tappen. Bis zu einem gewissen Grad sollte Sicherheit immer der Benutzerfreundlichkeit widersprechen – es sollte nicht so einfach sein, auf Daten zuzugreifen, und es sollte die Leute zum Nachdenken anregen. Es muss ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit geben-der Zugriff sollte nicht so schwierig sein, dass Mitarbeiter nicht in der Organisation arbeiten wollen, und auch nicht so einfach, dass jeder auf das System zugreifen kann.
Aufenthalt in der Sicherheitszone
Welche Lösungen können Unternehmen also einsetzen, um Benutzern dabei zu helfen, in der Sicherheitszone zu bleiben?
– Passwortmanager Machen Sie es Benutzern leicht, sich Passwörter nie zu merken, was zur Verwendung komplexerer und eindeutigerer Passwörter für jede Site führt.
– Zwei-Faktor-Authentifizierung trägt ebenfalls dazu bei, den Schutz von Daten auf eine weitere Ebene zu bringen.
– Automatisierung der einmaligen Anmeldung für Das Onboarding und Offboarding von Mitarbeitern bedeutet, dass sie nur Zugriff auf die Daten erhalten, die sie benötigen, und wenn sie keinen Zugriff benötigen, wird diese Berechtigung umgehend widerrufen.
– Credential Vaults und Organisationssegmentierung ermöglichen der Organisation die Zugriffspartitionierung zu verstehen, damit nur diejenigen Zugriff erhalten, die Zugriff benötigen, und zwar nur dann, wenn sie ihn benötigen.
– Durch die Implementierung eines”Trust niemandem”Zero Trust-Ansatzes wird sichergestellt, dass nur bestimmte Personen Zugriff haben Zugriff auf Teile des Netzwerks. Interne Firewalls und Anwendungs-Firewalls fügen ein hohes Maß an granularer Kontrolle hinzu.
– Die Verwendung von maschinellem Lernen zur Überwachung des Netzwerks und zur Erstellung von Bedrohungsmodellen bietet wertvolle Erkenntnisse und schnelle Reaktionen auf Bedrohungen. p>
Menschen sind unendlich hackbar, daher müssen Systeme darauf ausgelegt sein, wie sie versagen werden. Unternehmen müssen Sicherheitsebenen implementieren und darüber nachdenken, wie sie es Menschen erschweren können, das Falsche zu tun. Systemische Veränderungen müssen implementiert werden, um reagieren zu können, wenn Situationen eintreten. Unternehmen müssen Systeme entwerfen, die sowohl sicher als auch einfach zu navigieren sind, damit Benutzer die Sicherheit nicht umgehen, sondern annehmen.
Schulungen ansprechend und unterhaltsam gestalten
Und schließlich müssen Unternehmen Schulungen unterhaltsam gestalten und die Bedeutung einer positiven Sicherheitskultur unterstreichen. Das bedeutet, sicherzustellen, dass Führungskräfte das richtige Verhalten vorleben, und sicherzustellen, dass Mitarbeiter auf allen Ebenen der Organisation dies verstehen.
Wenn es zu einem Verstoß kommt, werden Unternehmensschulungen oft als Strafe verdrängt oder Organisationen nutzen Schulungen nur dazu Zertifikate einholen, um nachzuweisen, dass die Mitarbeiter in Cybersicherheit geschult wurden. Infolgedessen ist das Training langweilig, niemand achtet darauf und es wird zu einer Übung zum Ankreuzen. Es sollten Anreize vorhanden sein und die Schulungen sollten ansprechend und effektiv sein, damit sie zum richtigen Ergebnis führen: Sicherheitsbewusstsein zur Verbesserung der Sicherheit, nicht nur das Bestehen eines Audits. Im Idealfall sollten Unternehmen eine positive Sicherheitskultur haben, damit sie sich nicht darauf verlassen müssen, ihren Kaffee immer auf Gift zu prüfen.
Bildnachweis: Goodluz/Shutterstock
Brian Knudtson ist Director of Product Market Intelligence, 11:11 Systems,