Virksomheder indsamler og lagrer enorme mængder data. Der er så meget af din virksomhed, der fokuserer på private data - lige fra udstedelse af fakturaer til kunders kreditkortoplysninger.
For at få succes bliver du nødt til at betro disse data til dine medarbejdere. Men nogle gange kan selv de mest velmenende medarbejder begå fejl, der gør din virksomhed sårbar over for cyberangreb.
Vi foretog for nylig en undersøgelse for at finde ud af, hvor mange virksomheder der er bange for cyberangreb, som skyldes fejl fra medarbejderes side. Mere end halvdelen af de adspurgte virksomheder mener, at manglende viden, skødesløshed eller forbryderiske hensigter fra en medarbejders side kan føre til et cyberangreb. Yderligere undersøgelser viser, at 84 % af ofrene for et cyberangreb, i hvert fald delvis, tilskriver angrebet en menneskelig fejl ifølge ComputerWeekly.com. Så, hvilken type medarbejderfejl skaber en åbning i din virksomhed for cyberangreb? Her er en liste over de syv mest almindelige medarbejderfejl, og hvad du kan gøre for at løse dem.
1. Åbning af e-mails fra ukendte personer
E-mail er den foretrukne form for virksomhedskommunikation. I gennemsnit modtager en person 235 e-mails hver eneste dag ifølge The Radicati Group. Med så mange e-mails er det indlysende, at nogle er en del af et svindelnummer. Åbning af en ukendt e-mail eller vedhæftet fil i en e-mail kan udløse en virus, som giver cyberkriminelle en bagdør ind i virksomhedens digitale hjem.
Løsninger:
- Informer medarbejdere om ikke at åbne e-mails fra personer, de ikke kender.
- Informer medarbejdere om aldrig at åbne ukendte vedhæftede filer eller links.
2. Svage loginoplysninger
Mashable rapporterede , at 81 % af alle voksne bruger den samme adgangskode til alt. Gentagne adgangskoder, der bruger personlige oplysninger, f.eks. et navn eller en adresse, er et problem. Cyberkriminelle har programmer, der undersøger offentlige profiler for potentielle adgangskodekombinationer og pluginmuligheder, indtil de rammer rigtigt. De bruger også databaseangreb, der automatisk prøver forskellige ord, indtil de rammer plet.
Løsninger:
- Kræv, at medarbejdere bruger entydige adgangskoder.
- Føj tal og symboler til en adgangskode for at øge sikkerheden. Du kan f.eks. ændre "Seattle" til "S3att!e".
- Indfør regler, der kræver, at medarbejdere opretter entydige, komplekse adgangskoder på mindst 12 tegn, og at de skal ændre dem, hver gang de har mistanke om, at de evt. er blevet kompromitteret.
- Slip for bekymringerne ved at bruge en software til administration af adgangskoder , der automatisk genererer stærke individuelle adgangskoder for flere programmer, websteder og enheder.
3. Notering af adgangskoder på gule huskesedler
Har du nogen sinde slentret gennem kontoret og spottet en gul huskeseddel på en skærm, hvor der er skrevet adgangskoder? Det sker oftere, end du tror. Det er fint med et vist niveau af tillid i organisationen, men at lade adgangskoder være synlige er nok at strække tilliden for langt.
Løsninger:
- Hvis medarbejderne absolut vil nedskrive adgangskoder, så bed om, at de bliver opbevaret i låste skuffer.
4. Adgang til alt
I nogle tilfælde kan virksomheder ikke adskille data. Med andre ord kan alle lige fra praktikanter til bestyrelsesmedlemmer få adgang til samme virksomhedsfiler. Når du giver alle lige adgang til data, øges antallet af personer, der kan lække og miste oplysninger eller håndtere dem forkert.
Løsninger:
- Konfigurer lagdelte adgangsniveauer, som kun giver adgang til dem, der har behov for det på hvert niveau.
- Begræns antallet af personer, der kan ændre systemkonfigurationer.
- Udstyr ikke medarbejdere med administratorrettigheder til deres enheder, medmindre de reelt har brug for det. Også medarbejdere med administratorrettigheder bør kun bruge dem efter behov, ikke rutinemæssigt.
- Håndhæv dobbeltgodkendelse, inden betalinger over et bestemt beløb kan behandles, for at bekæmpe CEO-svindel.
5. Manglende effektiv oplæring af medarbejdere
Undersøgelser viser, at de fleste virksomheder tilbyder oplæring i cybersikkerhed. Det er dog kun 25 % af virksomhedslederne, der mener, at uddannelse er effektivt.
Løsninger:
- Sørg for årlig uddannelse i bevidsthed om cybersikkerhed. Emnerne kan omfatte:
- Baggrunden for og vigtigheden af uddannelse i cybersikkerhed
- Phishing og onlinesvindel
- Låsning af computere
- Administration af adgangskoder
- Hvordan du kan administrere mobile enheder
- Relevante eksempler på situationer
6. Manglende opdatering af antivirussoftware
Virksomheden bør installere antivirussoftware som en sikkerhedsforanstaltning, men det bør ikke være op til medarbejderne at opdatere den. I nogle virksomheder bliver medarbejdere bedt om at foretage opdateringer og kan dermed afgøre, om opdateringer faktisk finder sted. Medarbejdere siger sandsynligvis nej til opdateringer, når de er midt i et projekt, da mange opdateringer tvinger dem til at lukke programmer eller genstarte computere.
Antivirusopdateringer er vigtige, skal ske omgående og må ikke overlades til medarbejderne.
Løsninger:
- Konfigurer alle systemopdateringer til automatisk at finde sted efter arbejdstid.
- Lad ikke nogen medarbejder, uanset hvad deres titel er, fravælge denne virksomhedspolitik.
7. Brug af usikrede mobilenheder
Har dine medarbejdere virksomhedsmobiltelefoner, tablets eller bærbare computere? Hvis det er tilfældet, har du så en protokol for at holde disse enheder beskyttede? Mange virksomheder har en slap holdning til mobilenheder, men de udgør et let mål for cyberkriminelle.
Løsninger:
- Hver enhed skal være beskyttet med adgangskode.
- Hvis en enhed mistes eller stjæles, så sørg for at have et kontaktpunkt at rapportere dette til, og hav en protokol for foranstaltninger til at deaktivere enheden eksternt.
- Brug slutpunktssikkerhedsløsninger til at administrere mobilenheder.
- Gennemfør ikke fortrolige transaktioner ved hjælp af offentlig Wi-Fi, der ikke er tillid til.
Medarbejdere er bare mennesker, og der er altid en vis risiko for digitale uheld. Hvis du imidlertid tager særlige skridt for at beskytte udstyr og uddanne medarbejderne, kan du forhindre cybertrusler.
Selvfølgelig rækker administration af virksomhedens cybersikkerhed ud over uddannelse af medarbejdere. Beskyttelse af en virksomheds digitale fodspor, og administrering af trusler kræver hjælp fra en anerkendt cybersikkerhedsvirksomhed.
Relaterede artikler og links:
Hvordan undgås sikkerhedsrisici ved offentlig Wi-Fi
Forebyggelse af cyberkriminalitet
Produkter og serviceydelser:
Kaspersky Enterprise Security Training