Met technologie die steeds meer verweven is met alle aspecten van het bedrijfsleven, kan CNET @ Work u helpen - prosumenten voor kleine bedrijven met minder dan vijf werknemers - aan de slag gaan.

Gezond verstand gaat slechts zo ver en u moet ervoor zorgen dat de beste werkwijzen rond beveiliging niet in het ene oor passen en het andere niet. Dit is je aanvalsplan.

Als het gaat om cyberbeveiliging, zorgt softwarebedrijf AutoClerk ervoor dat zijn 25 medewerkers weten dat ze aan de frontlinie staan ​​van iets dat lijkt op een leven-en-doodgevecht.

"Als ze niet op de hoogte zijn van cybersecurity voordat we ze in dienst nemen, zullen we ze bewust maken", zegt Charlotte Gibb, mede-eigenaar van de Walnut Creek, Californië-ontwikkelaar die software levert aan de hotel- en horecabranche. "Onze klanten zijn vaak het doelwit van cyberaanvallen en daarom moeten we zeer alert zijn op de gevolgen hiervan voor onze klanten." We nemen cybersecurity heel serieus. "

Ze zou moeten. Cybercriminelen zijn speciaal gericht op kleine bedrijven. Ongeveer 18 procent van de phishing-campagnes was gericht op kleine bedrijven in 2011; het aantal is sindsdien gestegen tot meer dan 43 procent van het totaal met phishing nu het belangrijkste voertuig voor het leveren van ransomware en malware-aanvallen.

De bedreigingen beperken zich niet tot phishing-e-mails. De meeste beveiligingsinbreuken komen voort uit onzorgvuldige beslissingen van werknemers. Cybercriminelen zullen proberen een organisatie te infiltreren door gebruik te maken van social engineering-tactieken om vertrouwen van werknemers te winnen. Of ze laten misschien geïnfecteerde USB-flashstations achter, in de hoop dat iemand er een oppikt en op hun computer aansluit. Een nieuw populair trucje is het zakelijke e-mailcompromis waarin oplichters zich richten op werknemers die toegang hebben tot bedrijfsfinanciën om hen te misleiden voor het verzenden van overboekingen naar valse bankrekeningen.

Iedereen kan grote schade aanrichten. Ongeveer 60 procent van de kleine bedrijven is in staat om hun bedrijf meer dan zes maanden na een cyberaanval te behouden, volgens de Amerikaanse National Cyber ​​Security Alliance.

Het terugdringen van de bedreiging hangt af van het overtuigen van werknemers om in de praktijk te brengen wat ze over cybersecurity hebben geleerd. Zelfs dan zijn er nog steeds geen garanties dat werknemers het juiste doen.

"Tenzij je bereid bent je werkplek ongemakkelijk te maken en over iemands schouder hangt, weet je het niet echt, " zei Gibb. "Je moet in principe op je werknemers vertrouwen, maar op een gegeven moment moet je vertrouwen hebben bij de mensen die je hebt ingehuurd, omdat je hen vertrouwt met je klanten en je kritieke informatie."

Het bericht laten kloppen

Het is een populair - en nauwkeurig - cliché in de beveiligingsindustrie dat werknemers de eerste verdedigingslinie van een bedrijf vormen tegen kwaadwillende of criminele activiteiten. En daarom is het van essentieel belang om het evangelie te blijven prediken totdat de beste werkwijzen rond cyberbeveiliging een tweede natuur voor uw mensen worden.

Onderwijs is de sleutel om werknemers een gedeeld gevoel van verantwoordelijkheid te leren voor de gegevens waarmee ze werken. Elke campagne moet onderdeel worden van een continu proces. Hoewel sommige kleine bedrijven misschien het gevoel hebben dat ze de middelen missen, zijn er manieren om een ​​effectieve cybersecurity-voorlichtingscampagne op te zetten zonder de bank te verbreken.

● Kies niet voor scare-tactieken. Het doel is om een ​​cultuur van cyberbewustzijn op te bouwen, dus behandel beveiligingsbewustzijn als een marketingcampagne met de bedoeling om te overtuigen.

● Begin klein met een paar video's of infographics om dingen uit te schakelen. Neem posters, prijsvragen en andere herinneringen op om een ​​eenvoudig te begrijpen boodschap naar huis te sturen: veiligheid is ieders persoonlijke verantwoordelijkheid.

● Verspil geen tijd met het verzenden van lange memo's die alleen worden genegeerd. Houd het leuk, houd het kort. Je probeert werknemers voor te lichten over de beste werkwijzen, niet om hen te dwingen hun spinazie te eten. Als iedereen goed kan lachen, kunnen ze ook tegelijkertijd leren.

● Promoot het thema met driemaandelijkse vervolgcampagnes die cybersecuritybewustzijn benadrukken. Volg de training door te testen hoe goed de les is geleerd. Stuur af en toe valse phishing-e-mails om te controleren hoeveel werknemers de dreiging nog steeds niet herkennen.

Veranderen van gedrag van werknemers klinkt misschien als een ontmoedigende taak. Maar zelfs als u niet alle cyberaanvallen tegen de organisatie kunt elimineren, kunt u nog steeds omstandigheden aanmoedigen die helpen de dreiging te verminderen. Als werknemers weglopen van het programma met een meer serieuze waardering van elementaire cyberbeveiliging, is dat al een vooruitgang op schoppeniveau.

Wortelen en stokken

"Een inbreuk op de beveiliging zou onze reputatie vernietigen en het bedrijf failliet laten gaan", zegt David Cox, de CEO van LiquidVPN, een VPN-leverancier in Cheyenne, Wyoming.

Het is een ontnuchterend scenario en daarom gebruikt hij een constante mix van wortels en stokken om zijn personeel op scherp te houden. Zo laat Cox bijvoorbeeld periodiek een toetsaanslagapparaat vallen, vermomd als een USB-stick in een gang, badkamer of lobby. "Als iemand het op een van onze werkstations aansluit, krijg ik een rapport met hun gebruikersaccount en apparaat-ID, " zei hij.

Hij contracteert ook een externe service die is gespecialiseerd in valse phishing- en malwareaanvallen. Als iemand een test niet haalt of geraakt wordt door een echte aanval, worden ze opzij getrokken en geïnterviewd om uit te zoeken waarom het is gelukt.

"We proberen aan te tonen wat er zou kunnen gebeuren als ze cybersecurity niet serieus nemen en ik beloon medewerkers die proactief zijn", aldus Cox.

Tegelijkertijd, als een medewerker iets uitzonderlijks doet of op de een of andere manier een hoog niveau van situationeel bewustzijn toont, worden ze beloond met kaartjes voor een spel, diner voor twee of een Amazon cadeaubon.

Maar uiteindelijk is de inzet te hoog om slechte cyberbeveiligingsprestaties voor onbepaalde tijd door te laten.

"We geven medewerkers een adequate opleiding en als ze niet in staat zijn om het soort situationeel bewustzijn te tonen dat onze branche vereist, zou ik geen andere keuze hebben dan ze te laten gaan", zei hij. "Dat is nog niet gebeurd en ik hoop van harte dat het dat niet doet."