Η Sophos λειτουργεί και είναι όμοια με οποιαδήποτε άλλη επιχείρηση – πρέπει να κρατάει τους εργαζόμενούς της (και την εταιρεία) ασφαλή, ενώ την ίδια στιγμή πρέπει να παρέχει στους ανθρώπους της την απαραίτητη ελευθερία να κάνουν τη δουλειά τους.

Οι υπάλληλοί της Sophos –όπως και κάθε άλλης εταιρείας- θέλουν να είναι χρήσιμοι, να αποδίδουν καλά, προσφέροντας σωστή υποστήριξη τόσο στους συναδέλφους, όσο και στους εταίρους και στους πελάτες. Όμως, τα πάντα στην φύση μπορούν να είναι εκμεταλλεύσιμα, και είναι εκείνα τα εύκολα στην εκμετάλλευση χαρακτηριστικά που γυρεύουν οι κοινωνικοί μηχανικοί να εντοπίσουν για να αξιοποιήσουν ώστε να πετύχουν τους κακόβουλους σκοπούς τους.

Ως εισβολέας, είναι συνήθως ευκολότερο να προσπαθήσει να εξαπατήσει και να εντοπίσει τις πληροφορίες που επιθυμεί από έναν άνθρωπο ρίχνοντας τις όποιες άμυνες του παρά να περάσει από τις άμυνες ή τα μέτρα ασφαλείας μίας μηχανής. Εκτός και αν κατανοήσουμε τις τακτικές και τεχνικές των εγκληματιών του κυβερνοχώρου, οι άνθρωποι θα συνεχίσουν να πέφτουν θύματα επιθέσεων θέτοντας την ίδια στιγμή την εταιρεία σε κίνδυνο.

Η καλύτερη άμυνα για επιθέσεις τύπου social engineering είναι ένας συνδυασμός καλών ελέγχων και ενός προγράμματος ευαισθητοποίησης – ξεκινήσετε με μία καλή, απλή, εύκολα κατανοητή από τον άνθρωπο πολιτική και στη συνέχεια οικοδομήστε την σχετική κατάρτιση και τις εκστρατείες ευαισθητοποίησης γύρω από αυτό.

Ποιον να καλέσουν;

Το προσωπικό χρειάζεται ένα συγκεκριμένο μοναδικό σημείο επαφής – είναι ζωτικής σημασίας για τους ανθρώπους να γνωρίζουν ότι έχουν ένα συγκεκριμένο άτομο ή μια ομάδα από το οποίο μπορούν να ζητήσουν βοήθεια, στο οποίο μπορεί να γνωστοποιήσει ζητήματα ή να επιβεβαιώσει κάτι – άσχετα από το πόσο μικρό πιστεύουν ότι είναι.  

Έχετε υπόψη σου, ότι τα σοβαρότερα περιστατικά ξεκίνησαν με τις λιγότερες ενδείξεις. Στην εταιρεία, φροντίστε να διαφημίσετε το συγκεκριμένο σημείο επαφής μέσα από οτιδήποτε παράγετε για το προσωπικό, είτε πρόκειται για κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου, είτε με την μορφή αφίσας στην περιοχή του εστιατορίου ή στην περιοχή για καφέ είτε πρόκειται για κάποια παρουσίαση.

Εκπαίδευση μέσω της ευαισθητοποίησης

Στην Sophos τρέχουν μια εσωτερική εκπαιδευτική εκστρατεία που ονομάζεται “Τα 7 θανάσιμα αμαρτήματα της ασφάλειας”. Μέσω της εκστρατείας, οι υπάλληλοι εκπαιδεύονται πάνω στα βασικά θέματα της ασφάλειας, συμπεριλαμβανομένων του phishing, των κωδικών πρόσβασης, της σάρωσης και της κοινής χρήσης εγγράφων.

Η τελευταία εκστρατεία της Sophos με την ονομασία “Μην αφήνετε να σας κλέβουν τα δεδομένα – Κρυπτογραφήστε!” συνέπεσε με το λανσάρισμα του προϊόντος κρυπτογράφησης σε επίπεδο αρχείων της Sophos, SGN 8.

Μέσα από αυτή την εσωτερική εκστρατεία εκπαίδευσης, το προσωπικό είχε την ευκαιρία να ενημερωθεί για συγκεκριμένους κινδύνους ενώ παράλληλα μέσω αναρτήσεων σε επίσημα blogs της εταιρείας ή σε αφίσες και banners πώς να τους καταπολεμήσει.

Όχι μόνο για νέους

Η εκπαίδευση σε θέματα ασφάλειας και η ευαισθητοποίηση δεν θα πρέπει να επιβαρύνουν τον νέο εργαζόμενο με πρόσθετες ευθύνες και μάλιστα με το καλημέρα, για να τον αφήσετε στην συνέχεια -και για πάντα- ολομόναχο να βρει την άκρη μόνος του. Ούτε κάτι που κάνετε σαν να είναι μέρος της καθημερινής σας ρουτίνας, απλώς για να τσεκαριστεί ένα “κουτάκι” στην λίστα συμμόρφωσης. Ξεκινώντας Η εκπαίδευση αυτή πρέπει να είναι μια συνεχής διαδικασία, που παραδίδεται μέσω πολλών και διαφορετικών μεθόδων για να κρατηθεί το ενδιαφέρον του προσωπικού σας σε υψηλά επίπεδα ώστε να ενδιαφέρονται να ενημερώνονται.

Phishing

Μία από τις τεχνικές που χρησιμοποιεί η Sophos για να ευαισθητοποιήσει το προσωπικό της είναι οι δοκιμές phishing. Στην Sophos δοκιμάζουν συνεχώς τους εργαζομένους τους χρησιμοποιώντας τον συγκεκριμένο τύπο απειλής. Χρησιμοποιώντας πραγματικές απειλές phishing, σαν αυτές που λαμβάνει η ομάδα ασφαλείας της Sophos, οι δοκιμές της εταιρείας επιδεικνύουν καλό call-to-action με domains που μοιάζουν με τα δικά της. Η εταιρεία τρέχει μία τέτοια δοκιμή περίπου μία φορά τον μήνα, και όποιος πέσει θύμα από το προσωπικό, λαμβάνει άμεσα μία αυτοματοποιημένη εκπαίδευση, που του εξηγεί τι πρέπει να ελέγχει, που πρέπει να έχει τον νου του, και για ποιο λόγο.

Με οποιαδήποτε υποψία phishing (είτε πρόκειται για κάποια δοκιμή και τεστ της Sophos είτε για πραγματική εκστρατεία phishing) η Sophos ενθαρρύνει το προσωπικό να στέλνει άμεσα τις πιθανές απειλές στην ομάδα ασφαλείας αμέσως μόλις τις εντοπίσουν, ιδανικά πριν το πρώτο τους κλικ.

Για να ενθαρρύνει αυτή την συμπεριφορά, η Sophos δημιούργησε ένα σαφή και απλό τρόπο αναφοράς του phishing, συμπεριλαμβανομένου και ενός κουμπιού το Outlook ώστε να ενημερώνεται άμεσα η ομάδα ασφαλείας. Αυτός είναι ο πιο άμεσος και απλός τρόπος ώστε να είναι σε θέση να αμυνθούν δυναμική και προληπτικά εναντίον της συγκεκριμένης απειλής.

Προστατέψτε τους κωδικούς πρόσβασης

Στην Sophos επίσης διατηρούν ένα ενεργό πρόγραμμα ελέγχου κωδικού πρόσβασης. Η εταιρεία έχει επιβάλλει την χρήση μεγάλων κωδικών πρόσβασης και ενθαρρύνει τη χρήση εφαρμογών διαχείρισης κωδικών πρόσβασης, ενώ πραγματοποιεί ελέγχους των κωδικών πρόσβασης του προσωπικού της, “σπάζοντας” όποιους από αυτούς μοιάζουν πολύ απλοί. Όσοι χρήστες βρεθούν να έχουν επιλέξει ακατάλληλους κωδικούς πρόσβασης, ενημερώνονται ξανά μέσω της καμπάνιας/ εκστρατείας εκπαίδευσης κωδικών πρόσβασης που έχει δημιουργήσει η εταιρεία.

Όμως αυτά, δεν είναι τα πάντα

Τα παραπάνω είναι μόνο ένα μικρό υποσύνολο του τρόπου που μπορείτε να οικοδομήσετε μία κουλτούρα ασφαλείας στην επιχείρηση σας, για το καλό της επιχείρησης σας και των υπαλλήλων σας αλλά και των συνεργατών και των πελατών σας. Το κύριο πράγμα που πρέπει να θυμάστε είναι ότι θα πρέπει να είναι σταθερή, και διαρκής, και πως δεν είναι απλώς ένα “κουτάκι” για να τσεκάρετε. 

Η ευαισθητοποίηση σε ζητήματα ασφαλείας είναι καλή. Η καλλιέργεια κουλτούρας ασφαλείας όμως είναι το θέμα.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.