Školení o kybernetické bezpečnosti pro digitální marketéry napříč odděleními

Úvodní stránka

Počítačoví zločinci se vyvíjejí, a to jak co do počtu, tak co do kreativity. Věděli jste, že v roce 2023 přišli spotřebitelé i podniky kvůli kybernetické kriminalitě o 12,5 milionu dolarů a že podle FBI je toto číslo pravděpodobně stále nízké?

Navíc můžeme očekávat, že toto číslo bude i nadále stoupat, protože z údajů vyplývá, že rok 2023 byl z hlediska kybernetických útoků rekordní - oproti roku 2021 (předchozímu rekordmanovi v počtu útoků) se jejich objem zvýšil o 72 %. Pozoruhodné je, že příčina těchto vpádů je obvykle prozaická, přičemž e-mailové útoky patří k těm nejčastějším. Narušení prostřednictvím e-mailového malwaru zaznamenalo 94 % organizací a výzkum ukazuje, že 35 % malwarových útoků je doručeno prostřednictvím e-mailu.

Pro srovnání, průměrná ztráta způsobená únikem dat činí 4,4 miliardy dolarů. Jinak řečeno, vaši organizaci dělí jeden špatný e-mail od ztráty velkých peněz. A to jsou pouze e-maily; kyberzločinci bohužel s vývojem technologií stále zdokonalují svou hru.

Unsplash

Tato čísla jsou sice děsivá, ale zdůrazňují potřebu, aby se jednotky napříč společností spojily a chránily firemní data. Nestačí, aby vaše společnost měla pouze tým, který se věnuje údržbě softwaru pro kybernetickou bezpečnost; týmy napříč organizací musí znát a uplatňovat osvědčené postupy kybernetické bezpečnosti v rámci svých každodenních povinností.

To platí zejména pro vaše marketingové oddělení. Marketingové oddělení má přístup k velkému množství dat o zákaznících a aktivně je využívá při své každodenní práci. To z marketingu činí obzvláště cenný cíl pro kyberzločince; pokud méně zkušený stážista nebo dokonce přepracovaný ředitel otevře špatný e-mail, klikne na špatný odkaz nebo jinak otevře dveře, hrozí vaší společnosti mnohamilionová ztráta. Nemluvě o zásahu do vaší pověsti, protože zákazníci s menší pravděpodobností svěří svá data organizaci, která je špatně uloží.

Jak tedy můžete připravit své marketingové oddělení, aby se vyhnulo hrozbám kybernetické bezpečnosti? Co je třeba udělat pro to, aby se všichni seznámili s protokolem kybernetické bezpečnosti, a jak můžete měřit pokrok vašeho týmu v průběhu programu? V tomto článku rozebereme praktické tipy a triky, které vám pomohou sestavit týmy do jednotné fronty, chránit firemní data a vyhnout se hrozbám kybernetické bezpečnosti i v průběhu jejich vývoje.

Zvyšování povědomí

Unsplash

Týmy nemohou začít řešit hrozbu, o které nevědí. Nikdy byste neměli předpokládat, že lidé z marketingového týmu znají (i na základní úrovni) taktiky, které kyberzločinci používají k průniku. Proveďte základní audit informovanosti svého týmu a otestujte jeho znalosti těchto běžných kybernetických útoků:

• Malware Jak kyberzločinci často dostávají malware do počítačů zaměstnanců? Existují způsoby, jak se tomuto nežádoucímu vniknutí vyhnout?
• Phishing Co byste měli dělat, když dostanete e-mail zvenčí s odkazem, na který lze kliknout? Pokud e-mail tvrdí, že je zevnitř společnosti, ale má podobný klikatelný odkaz a vypadá podivně, například váš generální ředitel žádá všechny zaměstnance o vyplnění formuláře, co byste měli dělat?
• Sociální inženýrství Měli byste někdy předávat citlivé informace, jako jsou firemní záznamy, hesla nebo osobní údaje, prostřednictvím webu? Pokud vás někdo, kdo tvrdí, že je zevnitř společnosti (ale vy ho nepoznáváte), požádá o tyto věci prostřednictvím e-mailu, jakým protokolem můžete ověřit správnost e-mailu?

Jakmile získáte základní představu o celkovém povědomí svého týmu, je na čase, abyste se podíleli na doplnění chybějících znalostí. Zvyšování povědomí je pro zmírnění rizik nejdůležitější a existují způsoby, jak toto povědomí udržet nad rámec školicího programu, které byste měli zvážit v rámci celé společnosti.

Školící programy jsou sice také důležité (o čemž si povíme za chvíli), ale chcete, aby vaši zaměstnanci mysleli na kybernetickou bezpečnost každý den, a tohoto cíle můžete dosáhnout těmito jednoduchými změnami procesů.

• Protokoly o zabezpečení zařízení Zavedení protokolu, který vyžaduje, aby zaměstnanci a další uživatelé firemních systémů často aktualizovali svá hesla. To je velmi důležité, protože i jeden systém, který stále používá staré heslo, představuje zranitelnost, kterou kyberzločinci mohou využít a využijí. Přesto mnoho organizací tento krok odepisuje jako nepodstatnou věc, ke které se dostanou později - pokud to popisuje vaši organizaci, je to jedna z prvních věcí, které můžete pro svou ochranu udělat.
• Šifrování od konce ke konci Zavedení systému, který dokáže šifrovat data v pohybu, je zásadní, ale musíte se také ujistit, že jste schopni šifrovat data v klidu. Zaměstnanci by si měli být vědomi přítomnosti těchto systémů a jejich úlohy.
• Správa záplat Je nevyhnutelné, že se stárnutím operačních systémů budou zranitelnosti stále výraznější a naléhavější. Udržujte si přehled o této problematice častým vydáváním záplat a vybízejte zaměstnance, aby svá zařízení co nejčastěji aktualizovali. Pokud zaměstnanec vašeho marketingového oddělení z nějakého důvodu zmíněné záplaty nenainstaluje, nechává svůj systém otevřený možným útokům. Zavedení procesu pravidelných aktualizací a vedení zaměstnanců k odpovědnosti je nesmírně důležité.

Po vyhodnocení stávajících znalostí zaměstnanců a zavedení těchto celopodnikových postupů je čas přejít k dalšímu kroku: školení.

Zavedení důkladného školicího programu

Unsplash

Klíčem k zavedení školicího programu, který se udrží, je nebrat ho jako jednorázový seminář. Nikdo, a tím myslím opravdu nikdo, si nic nezapamatuje z 30minutové přednášky o nebezpečí kybernetických útoků s firemním brandingem a nablýskanými přechodovými prvky. V nejlepším případě si členové týmu zapamatují jeden nebo dva fakty, pokud budou vědět, že je poté čeká test; v nejhorším případě jen minimalizují své okno a soustředí se na svou práci, přičemž tento životně důležitý kurz budou považovat za kontrolu na kontrolním seznamu personálního oddělení.

Nejlepším způsobem, jak zavést školicí program, který přinese hodnotu, je zaměřit se na praktické poznatky. Namísto krátké prezentace přistupujte ke školení jako k víceseminárnímu kurzu, který vyžaduje, aby zaměstnanci na každém kroku prokázali své nově nabyté znalosti. Různé fáze tohoto kurzu můžete využít k tomu, abyste je poučili nejen o základních osvědčených postupech, ale i o trendech v oblasti kybernetické bezpečnosti, jako např:

• Technologie blockchain Blockchain je jednou z nejnovějších inovací v oblasti zabezpečení dat, protože díky vestavěnému zabezpečení je ideální pro sdílení dat a provádění transakcí. Krátký kurz o výhodách používání blockchainu a jedinečných bezpečnostních otázkách s ním spojených by byl vynikajícím základem, zejména pokud vaše organizace uvažuje o jeho využití.
• Temné optické sítě Temné optické sítě jsou novým způsobem struktury sítí, který umožňuje kontrolu nad stabilitou, bezpečností a šířkou pásma. Částečně proto, že umožňují uživatelům snadno implementovat protokoly pro zabezpečení dat, a částečně díky předvídatelným nákladům a nízké celkové latenci. Školení na toto téma by zaměstnance naučilo, jak s temnou optickou sítí pracovat, jaké jsou její kontrolní prvky a jak tyto sítě přidávají další vrstvu zabezpečení.
• Sítě VPN Sítě VPN podobně vytvářejí další vrstvu soukromí při surfování na webu a přenášejí citlivé údaje soukromým, šifrovaným kanálem. VPN si v poslední době získaly velkou oblibu, protože 77 % spotřebitelů používá VPN k ochraně svých soukromých údajů na internetu. Podobně slibné jsou i případy využití ve firmách a pro zaměstnance, kteří nakládají s citlivými údaji, bude klíčové pochopit, jak takovou síť správně nastavit.
• Ochrana DNS Nástroje DNS omezují typy webových stránek, ke kterým mohou zaměstnanci přistupovat při vyhledávání na webu, a preventivně vyřazují webové stránky s vysokým rizikem nákazy malwarem. Když zaměstnanci vědí, že tyto nástroje existují a proč, mohou si být jisti, že když systém spustí, je nejlepší se od webových stránek, na které se snažili přistupovat, oprostit.
• Sítě s nulovou důvěryhodností Sítě s nulovou důvěryhodností kombinují přísné ověřování identity s omezeným přístupem k firemním datům. Pochopení toho, proč jsou tyto kontroly zavedeny (a v některých případech i jak je nastavit), pomáhá zaměstnancům rozlišovat mezi citlivými údaji a veřejně sdílenými informacemi a udržovat ochranu osobních údajů na prvním místě.

Součástí těchto kurzů musí být samozřejmě i základní informace o nejběžnějších formách kybernetických útoků, jako je phishing, sociální inženýrství, ransomware a útoky hrubou silou. Pokud se posunete o krok dále, umožníte zaměstnancům získat znalosti o tom, jaká řešení existují, jak fungují a proč jsou nezbytná. Tato strategie připravuje zaměstnance na používání těchto řešení, vyhýbání se jejich zranitelnostem a ostražitou ochranu dat z více hledisek.

Měření úspěchů

Po zvýšení povědomí a vytvoření programu technologického školení je třeba mít přehled o pokroku členů týmu na vysoké úrovni. Nastavení klíčových ukazatelů výkonnosti (KPI) před zahájením těchto iniciativ je nanejvýš důležité, protože chcete být schopni zjistit, zda vaše iniciativy připravují vaše týmy odpovídajícím způsobem.

Unsplash

Testování je jedním z prvků, které můžete použít; mezi další patří sledování zavádění oprav, monitorování přístupu k citlivým datům a zavedení pravidelných kontrol s členy týmu, kteří si při adaptaci nevedou tak dobře. Užitečné může být také podávání zpráv o pokusech o kybernetické útoky (a o tom, jak se s nimi členové vašeho týmu vypořádali), protože vám to umožní zjistit slabá místa v rámci stávajících procesů a podle toho je přehodnotit.

Pamatujte: jste tak silní, jak silný je váš nejslabší článek. Dávejte si pozor, dbejte na průběžné školení a pravidelně zkoumejte nejnovější hrozby kybernetické bezpečnosti a udržíte svá citlivá data v tajnosti i v bezpečí.