セキュリティ意識向上トレーニングの主な目的は何ですか?

公開: 2021-05-22

セキュリティ意識向上トレーニングの主な目的は何ですか? 回避可能なサイバー攻撃の発生を防ぐため。 セキュリティ認識トレーニングを採用している企業は、攻撃をかわし、被害から身を守る能力の向上を実感しています。

つまり、サイバーセキュリティが不足していることに気づき、次世代のウイルス対策、エンドポイント監視ソリューション、またはおそらく最も機密性の高いデータ用の BDR ソリューションを手に入れました。

準備万端ですよね?

違う。 2021 年の企業は、サイバーセキュリティへのアプローチにおいて重大な過ちを犯し続けています。それは、従業員がビジネスにとって最大の脅威であることを忘れていることです。

関連記事:セキュリティ意識が将来にとって重要な理由

従業員が最大の脅威である理由と、従業員がサイバーセキュリティのボトルネックになっているかどうかを検討するこのブログ投稿では、従業員にできることについて説明します。

これが重要な理由

従業員のヒューマン エラーとセキュリティ意識に注目している理由は、それが企業が毎日サイバー攻撃の犠牲になる最大の理由であることは間違いないからです。

サイバー攻撃の 98% はソーシャル エンジニアリングに依存しています。

サイバー攻撃の圧倒的多数は、何らかの形のソーシャル エンジニアリングによってルーティングされます。

ソーシャル エンジニアリングとは、エンド ユーザーを操作して機密データや情報を漏らしたり公開したりすることを指します。

この種の操作は非常に一般的で、通常は電子メールでエンド ユーザーに配信されますが、ソーシャル エンジニアリングの他のベクトルには、テキスト メッセージや、特定の組織や業界で頻繁に使用される Web サイトを標的とする「水飲み場」攻撃などがあります。

上位のサイバーセキュリティ攻撃ベクトル |セキュリティ意識向上トレーニングの目的は何ですか?

原因は何ですか?

サイバー犯罪者は、標的にされた大多数のユーザーが攻撃を受けないことに基づいて活動しています。

ただし、彼らは、一度1人しか必要としないはずのリンクを間違えたり、クリックしたりする必要があることも知っています。

Terranova の 2020 Gone Phishing Tournament の結果によると、全従業員のほぼ 20% がフィッシング メールのリンクをクリックする可能性が高く、そのうち 67.5% という驚異的な数字がフィッシング Web サイトで資格情報を入力しています。

これは平均的な運用の法則であり、成功するためにすべての攻撃が必要なわけではありません。

要するに、従業員が毎日組織を襲う種類のサイバー攻撃に対処する準備ができていない場合、ソーシャル エンジニアリングの犠牲になる可能性が高くなります。

これを回避する最善の方法は、新しい技術ソリューションを実装するだけでなく、攻撃がどのようなものか、「フィッシング」を回避する方法についてスタッフを教育することです。

なぜ企業はセキュリティ意識を真剣に考えないのですか?

多くの組織は、サイバーセキュリティ イニシアチブの一環としてのセキュリティ トレーニングの重要性を理解していません。多くの組織は、セキュリティ意識向上トレーニングの主な目的を過小評価しています。

Hiscox が年次報告書で行った調査では、回答者のわずか 11% が、サイバー攻撃後に自社がセキュリティ意識向上トレーニングへの支出を増やしたと述べています。

これは通常、フィッシングなどの攻撃ベクトルのリスクについて十分な教育を受けていない (またはまったく教育を受けていない) 従業員がいることの脅威を認識していないためです。

ヨーロッパは世界で最も標的にされた大陸であり (31%)、北米 (27%)、アジア (25%) が続きます。

サイバーセキュリティの優先事項を尋ねたところ、ヨーロッパの主要なセキュリティ リーダーを対象とした調査では、5 番目に重要な目標として「組織全体のセキュリティ意識の向上」が挙げられました。

セキュリティ意識向上の専門家の 80% 以上が、自分の時間の半分以下を意識向上に費やしていると報告しており、セキュリティ意識向上がパートタイムの取り組みであることがあまりにも多いことを示しています。

これらすべてが示していることは、サイバーセキュリティは米国だけでなく世界中で明らかに問題になっていますが、意思決定者は、災害復旧、クラウドセキュリティ、セキュリティなどの他の差し迫ったニーズと比較して、セキュリティ意識をより重要でない問題として定期的にランク付けしていることです。モバイル デバイス管理。

では、ボトルネックは従業員ですか?

簡単な答えは、はい、セキュリティに関して言えば、従業員は確かにボトルネックですが、これは従業員自身のせいではありません.

組織は、サイバーセキュリティが取り組むべき問題であることを正しく認識していますが、多くの組織は、教育よりも主にソリューションに投資を注いでいます。

関連記事:最近のデータ侵害から学んだ 6 つの教訓

これは、企業が一般的にセキュリティをより真剣に受け止めていることの進歩を示しており、この前述の投資は、サイバー犯罪と戦い、ビジネスを被害から保護するための鍵となります.

しかし、国全体および世界中で従業員向けの教育への投資が広範に行われていないことは、従業員が攻撃の影響を非常に受けやすいことを意味します。これは、パンデミック中の攻撃の急激な増加と現在も続いていることからも明らかです。

この点で、ビジネスのボトルネックになるのは従業員ではなく、ビジネス自体のセキュリティ戦略です。

このようなボトルネックを解消するために企業は何ができるでしょうか?

2021 年のサイバーセキュリティの品質プログラムは、階層化されたアプローチを採用し、さまざまなソリューションを含める必要がありますが、意識向上トレーニングはその 1 つにすぎません。

どのようなボトルネックがあるかわからない組織、またはボトルネックがある場合は、サイバーセキュリティ プロバイダーと連携して評価を実施することを強くお勧めします。

関連記事:サイバーセキュリティ リスク監査中に何が起こるか?

サイバーセキュリティ監査では、組織の能力を深く掘り下げ、強みと弱みを特定します。

これは、会社を最大限に保護するために戦略を調整または策定するための最良の方法です。

結論

セキュリティ意識向上トレーニングの主な目的が何であるかを明確に理解していただけたことを願っています。

サイバーセキュリティに関して言えば、セキュリティ意識は主要な問題であり、意思決定者によってしばしば無視されたり見過ごされたりしています。

人為的ミスがデータ侵害やその他のサイバー攻撃の成功の主な原因であるため、企業は自社の従業員が攻撃を回避できることを当然のことと考えるべきではありません。

サイバーセキュリティ意識向上プログラムへの投資は、ビジネスを保護するための優れた方法であり、今後もサイバー犯罪者が主な攻撃ベクトルとしてソーシャル エンジニアリングに大きく依存し続けるため、必要になるでしょう。

ブログを購読して、ビジネス テクノロジに関する洞察を毎月受け取り、マーケティング、サイバーセキュリティ、その他のテクノロジ ニュースやトレンドの最新情報を入手してください。