10 saker alla anställda måste lära sig om cyberhot

Alla som arbetar med it-säkerhet vet att en grundlig användarutbildning är nödvändig för att skydda företaget mot it-relaterade hot. Ett utbildningsprogram för de anställda hjälper dem att utveckla bra och hälsosamma digitala vanor och gör dem till allierade i säkerhetsarbetet snarare än en spricka i försvaret.

Här är tio punkter som varje it-säkerhetsutbildning för de anställda bör innehålla, enligt vår systersajt CSO.

1. Accepterad användning.
De flesta människor ligger inte vakna om natten och funderar över rätt eller fel sätt att använda den laptop deras arbetsgivare precis gav dem. De använder den eftersom de har den. Därför måste man vara tydlig med vad som är accepterat användande och vad som inte är tillåtet när det gäller en företagsenhet.

Att varje år sitta ner med de anställda och se till att de läser och skriver under användarpolicy är ett bra sätt att utbilda dem. Det här kan också vara bra ur ett juridiskt perspektiv om någon anställd senare bryter mot reglerna. Ett tips är att de anställda måste acceptera användarpolicyn innan de blir betrodda med en företagsdator.

2. Patchmedvetande.
Mjukvara behöver uppdateras ofta. Annars kan vilken maskin som helst bli en farlig accesspunkt för elak kod och andra hot. Opatchad mjukvara är en av de viktigaste förklaringarna till varför företag kan attackeras. Det här vet alla som arbetar med it-säkerhet, men för den genomsnittlige anställde är patchning ett irritationsmoment som snabbt hamnar längst ner på att-göra-listan. Därför är patchmedvetande en viktig del av en säkerhetsutbildning. Man bör som anställd känna till de stora dragen och veta vad företaget förväntar sig av en själv, vad gäller att installera patchar. Vem gör det? Hur ofta? Vad ska de anställda inte göra?

3. Medvetenhet om social ingenjörskonst.
De flesta it-relaterade incidenter börjar med en framgångsrik ”social attack”. Med detta menas att en hackare får tillgång till nätverket genom att förmå en person att göra något eller lämna ifrån sig något. De behöver inte ens ha direktkontakt med varandra – det kan ske via mejl, en webbsida, telefon eller sms. Ibland kallas det social ingenjörskonst. Ditt utbildningsprogram bör ta upp vanliga sätt som illasinnade människor kan luras på för att komma åt viktig information.

4. Lösenordshantering.
Även om en stor del av världen snabbt rör sig mot flerfaktorsautentisering så är det forfarande många webbplatser och tjänster som bara använder lösenord. Därför måste användare kunna skapa, komma ihåg och använda lösenord på ett säkert sätt och så att de inte utsätter informationen för risker. Använd minst åtta tecken och undvik alla ”qwerty” eller liknande som en illasinnad person kan testa sig fram till.

Läs också: Så här ska lösenord inte se ut

5. Hantera e-post.
Många digitala smittor börjar med ett mejl med en bifogad fil eller länk, som mottagaren klickar på eller öppnar. Här gäller det att göra gruppen medveten om vad som gäller vid oönskad e-post, och hur man hanterar meddelanden utan att utsätta företaget för risker. Det handlar om att coacha människor och lära dem rätt beteende, att vara försiktiga och inte klicka på bilagor eller länkar som de inte vet vad de är, utan hellre ringa upp avsändaren och fråga vad det är för något.

6. Säkert surfande.
Att surfa på nätet är alltid förknippat med risk. Alla på ditt företag måste lära sig att surfa på ett säkert sätt utan att smittas av skadlig kod. Ge instruktioner hur man försäkrar sig om att webbläsaren är patchad mot kritiska sårbarheter. Varna för att installera onödiga tillägg eller för att surfa med viktiga konton, som till exempel administratörens.

7. Dataskydd.
Det här är ett ämne som hamnat i fokus senaste året med tanke på EU:s nya dataskyddsregler GDPR. Man måste försäkra sig om att de data som samlas in verkligen behövs och används på ett korrekt sätt. Man behöver ge en definition av vilken typ av data som måste skyddas, hur man gör sig av med data när de inte längre behövs, vikten av att backa upp data, eventuellt kryptera dem – och inte minst uppmuntra de anställda att diskutera de här frågorna med ansvariga.

Läs också: Googleanställd hackade sig in på kontoret

8. Skärmlåsning.
Även om de har lärt sig att vara medvetna om riskerna så är många som inte tänker på att låsa sin dator innan de går från den. Men faktum är att det innebär en risk, både för individen och för företag, att lämna datorn öppen för vem som helst. Olåsta datorer har en historia av att skapa trubbel hos företag. Det här måste användarna helt enkelt lära sig – och göra till en rutin.

9. Riktad utbildning.
Särskilda användare behöver särskild utbildning för att förstå vilka hot som riktas just mot dem. Till exempel måste ekonomianställda förstå varför de kan vara potentiella måltavlor, och kanske hur transfereringsbedrägerier brukar gå till. Vd och personer med särskilda behörigheter måste förstå sina roller i det här, och vilka bluffar de kan utsättas för.

Den här sessionen ska inte vara för bred och försöka täcka så många områden som möjligt, för om deltagare känner att de inte berör dem, så ger det ingenting.

10. Rapportera incidenter.
Den genomsnittliga tiden det tar för ett företag att upptäcka att de utsatts för en hackaraktivitet är faktiskt åtta månader – och då är det ofta någon utanför företaget som gör upptäckten. Sorgligt nog så är det ofta någon på företaget som lagt märke till incidenten långt innan att säkerhetsteamet blir varse om den. Principen som måste gälla är: ”om du ser något, säg något”. Anställda behöver veta hur de känner igen och rapporterar säkerhetsincidenter. Det gäller att skapa en kultur där människor inte är rädda för att säga till om de ser något som inte stämmer.