วัตถุประสงค์หลักของการฝึกอบรมให้ความรู้ด้านความปลอดภัยคืออะไร?
เผยแพร่แล้ว: 2021-05-22วัตถุประสงค์หลักของการฝึกอบรมความตระหนักด้านความปลอดภัยคืออะไร? เพื่อป้องกันมิให้เกิดการโจมตีทางไซเบอร์ที่หลีกเลี่ยงได้ ธุรกิจที่ใช้การฝึกอบรมความตระหนักด้านความปลอดภัยเห็นการปรับปรุงในความสามารถในการป้องกันการโจมตีและป้องกันตนเองจากอันตราย
ดังนั้น คุณได้ระบุแล้วว่าการรักษาความปลอดภัยในโลกไซเบอร์ของคุณขาดหายไป คุณมีโปรแกรมป้องกันไวรัสรุ่นต่อไป หรือโซลูชันการตรวจสอบปลายทาง หรืออาจเป็นโซลูชัน BDR สำหรับข้อมูลที่ละเอียดอ่อนที่สุดของคุณ
เรียบร้อยแล้วใช่ไหม
ผิด. ธุรกิจในปี 2564 ยังคงทำผิดพลาดครั้งสำคัญในแนวทางการรักษาความปลอดภัยทางไซเบอร์ โดยลืมไปว่าพนักงานเป็นภัยคุกคามที่ใหญ่ที่สุดต่อธุรกิจของพวกเขา
โพสต์ที่เกี่ยวข้อง: เหตุใดการตระหนักถึงความปลอดภัยจึงเป็นสิ่งสำคัญสำหรับอนาคต
เหตุใด พนักงานจึงเป็นภัยคุกคามที่ใหญ่ที่สุดของคุณและสิ่งที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้จะได้รับการกล่าวถึงในโพสต์บล็อกนี้ ซึ่งเราจะพิจารณาว่าพนักงานเป็นคอขวดสำหรับการรักษาความปลอดภัยในโลกไซเบอร์หรือไม่
ทำไมเรื่องนี้ถึงมีความสำคัญ?
เหตุผลที่เราพิจารณาข้อผิดพลาดของมนุษย์และการรับรู้ด้านความปลอดภัยของพนักงานนั้นเป็นเพราะไม่ต้องสงสัยเลยว่าเหตุผลที่ใหญ่ที่สุดที่ธุรกิจตกเป็นเหยื่อของการโจมตีทางไซเบอร์ทุกวัน
98% ของการโจมตีทางไซเบอร์พึ่งพาวิศวกรรมสังคม
การโจมตีทางไซเบอร์ส่วนใหญ่เกิดขึ้นในรูปแบบของวิศวกรรมสังคมบางรูปแบบ
วิศวกรรมสังคมหมายถึงการจัดการของผู้ใช้ปลายทางในการเปิดเผยหรือเปิดเผยข้อมูลหรือข้อมูลที่ละเอียดอ่อน
การจัดการแบบนี้เป็นเรื่องปกติธรรมดาและโดยทั่วไปแล้วจะถูกส่งไปยังผู้ใช้ปลายทางผ่านอีเมล แต่เวกเตอร์อื่นๆ สำหรับวิศวกรรมสังคมรวมถึงข้อความตัวอักษรและการโจมตีแบบ "watering hole" ซึ่งกำหนดเป้าหมายเว็บไซต์ที่องค์กรหรืออุตสาหกรรมเฉพาะใช้บ่อยๆ
อะไรเป็นสาเหตุ?
อาชญากรไซเบอร์ทำงานบนพื้นฐานที่ว่าผู้ใช้ส่วนใหญ่ที่เป็นเป้าหมายจะ ไม่ ถูกโจมตี
พวกเขายังรู้ด้วยว่าพวกเขาต้องการ เพียง คนเดียวในคราว เดียว จึงจะพลาดหรือคลิกลิงก์ที่ไม่ควรไปและพวกเขาก็เข้ามา
จากผลการแข่งขัน Gone Phishing Tournament ประจำปี 2020 ของ Terranova พนักงานเกือบ 20% มีแนวโน้มที่จะคลิกลิงก์อีเมลฟิชชิ่ง และในจำนวนนี้ 67.5% ที่ส่ายไปมาเพื่อป้อนข้อมูลประจำตัวบนเว็บไซต์ฟิชชิ่ง
นี่เป็นกฎแห่งการปฏิบัติการ—ไม่จำเป็นต้องโจมตีทุกครั้งเพื่อให้สำเร็จ แค่ครั้งเดียว—และได้ผล
กล่าวโดยสรุป ถ้าพนักงานไม่พร้อมที่จะรับมือกับการโจมตีทางไซเบอร์ประเภทต่างๆ ที่โจมตีองค์กรทุกวัน ก็มีโอกาสสูงที่พวกเขาจะตกเป็นเหยื่อของวิศวกรรมสังคม
วิธีที่ดีที่สุดในการหลีกเลี่ยงสิ่งนี้ไม่ใช่แค่การใช้โซลูชันเทคโนโลยีใหม่ ๆ เท่านั้น แต่โดยการให้ความรู้แก่พนักงานเกี่ยวกับลักษณะการโจมตีและวิธีหลีกเลี่ยงการถูก "ฟิชชิ่ง"
เหตุใดบริษัทต่างๆ จึงไม่ตระหนักถึงความปลอดภัยอย่างจริงจัง
องค์กรต่างๆ มักขาดความเข้าใจในความสำคัญของการฝึกอบรมด้านความปลอดภัยซึ่งเป็นส่วนหนึ่งของโครงการริเริ่มด้านความปลอดภัยทางไซเบอร์ โดยที่องค์กรจำนวนมากประเมินค่าวัตถุประสงค์หลักของการฝึกอบรมด้านการตระหนักรู้ด้านความปลอดภัยต่ำเกินไป
มีเพียง 11% ของผู้ตอบแบบสำรวจโดย Hiscox ในรายงานประจำปีของพวกเขากล่าวว่าบริษัทของพวกเขาได้เพิ่มการใช้จ่ายในการฝึกอบรมความตระหนักด้านความปลอดภัยหลังจากการโจมตีทางไซเบอร์
โดยทั่วไปมักเกิดขึ้นเพียงเพราะไม่ตระหนักถึงภัยคุกคามของการมีพนักงานที่ไม่ได้รับการศึกษา (หรือไม่มีเลย) เกี่ยวกับความเสี่ยงของเวกเตอร์การโจมตี เช่น ฟิชชิง
ยุโรปเป็นทวีปที่มีเป้าหมายมากที่สุดในโลก (31%) ตามมาด้วยอเมริกาเหนือ (27%) และเอเชีย (25%)
เมื่อถูกถามว่าลำดับความสำคัญด้านความปลอดภัยทางไซเบอร์ของพวกเขาคืออะไร การสำรวจของผู้นำด้านความปลอดภัยชั้นนำในยุโรปได้กำหนดให้ “เพิ่มความตระหนักด้านความปลอดภัยทั่วทั้งองค์กร” เป็นวัตถุประสงค์ที่สำคัญที่สุดอันดับที่ห้าของพวกเขา
ผู้เชี่ยวชาญด้านการตระหนักรู้ด้านความปลอดภัยกว่า 80% รายงานว่าพวกเขาใช้เวลาเพียงครึ่งเดียวหรือน้อยกว่าในการตระหนักรู้ ซึ่งบ่งชี้ว่าการตระหนักรู้ด้านความปลอดภัยเป็นงานนอกเวลาบ่อยเกินไป
ทั้งหมดนี้แสดงให้เราเห็นว่าในขณะที่การรักษาความปลอดภัยทางไซเบอร์เป็นปัญหา ไม่ใช่แค่ในสหรัฐอเมริกา แต่ทั่วโลก ผู้มีอำนาจตัดสินใจจัดลำดับความตระหนักด้านความปลอดภัยว่าเป็นปัญหาที่น้อยกว่าเมื่อเปรียบเทียบกับความต้องการเร่งด่วนอื่นๆ เช่น การกู้คืนจากภัยพิบัติ การรักษาความปลอดภัยบนคลาวด์ และ การจัดการอุปกรณ์เคลื่อนที่ 
พนักงานเป็นคอขวดหรือไม่?
คำตอบง่ายๆ คือ ใช่ แน่นอนว่าพนักงานเป็นคอขวดเมื่อพูดถึงเรื่องความปลอดภัย แต่ก็ไม่ใช่ความผิดของพวกเขาเอง
แม้ว่าองค์กรต่างๆ จะรับรู้อย่างถูกต้องว่าการรักษาความปลอดภัยในโลกไซเบอร์เป็นปัญหาที่ต้องแก้ไข แต่องค์กรหลายแห่งก็ทุ่มเงินลงทุนไปที่โซลูชันเป็นหลักมากกว่าการศึกษา
โพสต์ที่เกี่ยวข้อง: 6 บทเรียนจากการละเมิดข้อมูลล่าสุด
เป็นการบ่งชี้ถึงความคืบหน้าว่าบริษัทต่างๆ ให้ความสำคัญกับความปลอดภัยโดยทั่วไปมากขึ้น และการลงทุนดังกล่าวนี้เป็นกุญแจสำคัญในการต่อสู้กับอาชญากรรมทางอินเทอร์เน็ตและปกป้องธุรกิจจากอันตราย
แต่การขาดการลงทุนอย่างกว้างขวางในด้านการศึกษาสำหรับแรงงานทั่วประเทศและทั่วโลก หมายความว่าพนักงานมีความเสี่ยงที่จะถูกโจมตีสูง ซึ่งแสดงให้เห็นได้จากการโจมตีที่เพิ่มขึ้นอย่างรวดเร็วในช่วงการระบาดใหญ่และต่อเนื่องมาจนถึงทุกวันนี้
ในเรื่องนี้ไม่ใช่พนักงานที่เป็นคอขวดของธุรกิจ แต่เป็นกลยุทธ์ด้านความปลอดภัยของธุรกิจเอง
ธุรกิจสามารถทำอะไรได้บ้างเพื่อขจัดปัญหาคอขวดเช่นนี้
โปรแกรมคุณภาพสำหรับการรักษาความปลอดภัยในโลกไซเบอร์ในปี 2564 ควรใช้วิธีการแบบหลายชั้นและรวมโซลูชันที่หลากหลาย ซึ่งการฝึกอบรมการรับรู้เป็นเพียงวิธีเดียว
สำหรับองค์กรที่ไม่แน่ใจว่าตนเองมีปัญหาคอขวดหรือไม่ หรือหากมี ขอแนะนำอย่างยิ่งให้ติดต่อกับผู้ให้บริการความปลอดภัยทางไซเบอร์และทำการประเมิน
โพสต์ที่เกี่ยวข้อง: จะเกิดอะไรขึ้นระหว่างการตรวจสอบความเสี่ยงด้านความปลอดภัยทางไซเบอร์
การตรวจสอบความปลอดภัยทางไซเบอร์จะเจาะลึกถึงความสามารถขององค์กรของคุณและกำหนดจุดแข็งและจุดอ่อนของคุณ
นี่เป็นวิธีที่ดีที่สุดในการปรับหรือกำหนดกลยุทธ์เพื่อปกป้องบริษัทของคุณให้ดีที่สุด
บรรทัดล่าง
เราหวังว่าคุณจะมีความเข้าใจที่ชัดเจนว่าจุดประสงค์หลักของการฝึกอบรมความตระหนักด้านความปลอดภัยคืออะไร
ความตระหนักด้านความปลอดภัยเป็นปัญหาสำคัญเมื่อพูดถึงความปลอดภัยในโลกไซเบอร์ และมักถูกละเลยหรือมองข้ามโดยผู้มีอำนาจตัดสินใจ
ด้วยความผิดพลาดของมนุษย์ซึ่งเป็นสาเหตุหลักของการละเมิดข้อมูลและการโจมตีทางไซเบอร์ที่ประสบความสำเร็จอื่นๆ ธุรกิจต่างๆ ไม่ควรมองข้ามความสามารถของพนักงานของตนเองในการหลีกเลี่ยงการโจมตี
การลงทุนในโครงการสร้างความตระหนักเรื่องความปลอดภัยทางไซเบอร์เป็นวิธีที่ยอดเยี่ยมในการปกป้องธุรกิจ และจะกลายเป็นความจำเป็นเนื่องจากอาชญากรไซเบอร์ยังคงพึ่งพาวิศวกรรมสังคมเป็นหลักในฐานะเวกเตอร์การโจมตีหลักในอนาคต
สมัครรับข้อมูลบล็อกของเรา เพื่อรับข้อมูลเชิงลึกรายเดือนเกี่ยวกับเทคโนโลยีทางธุรกิจ และติดตามข่าวสารล่าสุดเกี่ยวกับการตลาด ความปลอดภัยทางไซเบอร์ และข่าวสารและแนวโน้มด้านเทคโนโลยีอื่นๆ