Personalen är den viktigaste länken i företagets informationssäkerhet. Att öka kunskapen om informationssäkerheten är viktigt särskilt i sådana situationer där mycket hänger på hur användaren agerar. Ett konkret exempel är e-post – största delen av hoten mot dataskyddet i små och medelstora företag är relaterade till e-post.
Känner personalen på ditt företag igen misstänkta e-postmeddelanden? Agerar de på ett informationssäkert sätt och rapporterar hot mot dataskyddet till IT-avdelningen?
I den här bloggartikeln förklarar vår expert på informationssäkerhet hur simulerade angrepp mot dataskyddet kan hjälpa ett företag att ta reda på nivån på personalens säkerhetskunnande och öva på det som en del av säkerhetsberedskapen.
Nätfiske eller phishing via e-postmeddelanden är ett av de största hoten mot informationssäkerheten i små och medelstora företag. Därför är det viktigt när vi pratar om personalens kunskaper i informationssäkerhet att betona förmågan att identifiera misstänkta meddelanden.
Simulerade attacker är ett konkret sätt att säkerställa personalens kunnande. En simulerad attack kan användas både för att kartlägga kunnandet om informationssäkerheten och för att t.ex. testa kunskaperna efter en säkerhetsutbildning.
Helst bör simuleringen genomföras regelbundet, t.ex. årligen som en del av företagets säkerhetsberedskap.
|
Hur medarbetarna reagerar på ett nätfiskeförsök är viktig information för företaget. Den hjälper till att identifiera det nuvarande läget när det gäller säkerhetskunnande och avslöjar de viktigaste områdena som behöver förbättras.
Regelbundna simuleringar är också till nytta för personalen. De stöder individens säkerhetskompetens och hjälper hen att komma ihåg bästa praxis. Att kunna känna igen falska meddelanden har personalen också nytta av på sin fritid. Phishing-meddelanden är inte bara ett problem för företagen, utan även privatpersoner får dem.
På så sätt har simuleringarna också ett samhällsvärde. Det är viktigt att föra en offentlig diskussion om de falska meddelandena, eftersom det ökar kännedomen och medvetenheten. Att kunna identifiera misstänkta meddelanden är en viktig digital färdighet för var och en.
I praktiken kan simuleringar utföras oberoende av IT-miljö. Störst nytta av resultaten får man när testgruppen består av minst 20 personer. Om grupperna är mindre, kan man inte dra tillförlitliga slutsatser av resultaten.
En phishing-kampanj planeras alltid i nära samarbete med företagets IT-avdelning. För kampanjen fastställs ett syfte och tydliga mål. Enstaka massutskick passar för stickprovsliknande testning och för mer systematisk testning passar en phishing-kampanj t.ex. var tredje månad.
Resultaten av den simulerade phishing-kampanjen mäts på fyra nivåer:
Det idealiska vore om ingen medarbetare öppnade meddelandet och alla anmäler det till IT-avdelningen. Det sämsta scenariot är förstås om användaren lämnar sina inloggningsuppgifter på en skadlig webbplats.
Resultaten visar de viktigaste utvecklingsområdena som behöver lyftas fram i nästa utbildning i informationssäkerhet.
|
Verkar det här nyttigt och intressant? Kontakta våra experter som gärna berättar mer. Vi diskuterar och tillsammans tar vi reda på de viktigaste åtgärderna och sätten för att förbättra informationssäkerheten.
Du kanske också är intresserad av de här bloggartiklarna: