По данным аналитиков, в 2023 году количество кибератак на организации выросло на 11% по отношению к году ранее. Наибольшее число киберинцидентов связано с посещением сотрудниками компаний интернет-ресурсов с вредоносным ПО и фишинговыми атаками. Учитывая эту динамику, соблюдение элементарных правил становится особенно важным. Одним из главных аспектов обеспечения информационной безопасности в штате организации является регулярное обучение персонала.
«Сотрудники должны быть хорошо осведомлены об актуальных угрозах и тактиках нелегитимного воздействия со стороны потенциальных злоумышленников, а также о методах обнаружения возможных инцидентов. Расширенные тренинги и актуальные обучающие программы позволят поддерживать уровень осведомленности коллег в вопросах информационной безопасности на высоком уровне. Обучение такого уровня должно включать в себя непосредственно практическое тестирование. Это может быть, например, фишинговая кампания – мероприятие, в рамках которого производится рассылка фишинговых писем пользователям на одну или несколько утвержденных тем: смена реквизитов, новые корпоративные сервисы и т.д. Результатом является сводная статистика по действиям сотрудников - отправили письмо в спам, перешли по ссылке, ввели данные. Это позволяет в полной мере оценить степень защищенности корпоративной ИТ-инфраструктуры», - отметил специалист по наступательной безопасности Sitronics Group Никита Котиков.
Еще один способ защитить компанию от киберугроз и воздействия на ИТ-среду организации через ее сотрудников – разъяснить правила политик информационной безопасности, регулирующих использование информационных ресурсов, сложность паролей, а также доступ к устройствам с приведением примеров потенциальных последствий для бизнеса в случае нарушения правил. Также важным шагом будет разработка политик реагирования на инциденты.
«Любой сотрудник обязан четко знать, что в случае идентификации подозрительного письма его дальнейший перечень действий сводится к конкретному порядку: оповещение непосредственного начальника и сотрудников отдела информационной безопасности, предоставление письма для анализа, удаление подозрительного письма», - говорит эксперт.
Такой подход позволяет существенно минимизировать риски и обеспечить высокий уровень защиты в отношении пользователей и корпоративных ресурсов в цифровой среде.
В Sitronics Group для повышения информационной безопасности составили чек-лист основных правил кибергигиены. В него вошли такие пункты, как использование сложных паролей и регулярная смена реквизитов доступа, хранение учетных данных строго в соответствии с локальными руководящими документами, минимизация использования общедоступных беспроводных сетей и устройств, запрет на использование незашифрованного соединения для критичных операций, запрет на взаимодействие с подозрительными электронными письмами, вложениями и приложениями, обеспечение базовой защиты конечных устройств и другие.