En av hovedbekymringene for bedrifter har vært beskyttelse mot digitale trusler. Og selv om man tar i bruk en rekke tiltak, applikasjoner og innovative løsninger for å forhindre inntrenging og datatyveri, avhenger problemet ikke bare av avansert teknologi, men også av menneskelig atferd. Dette er ifølge cybersikkerhetsekspert Leonardo Baiardi fra dataRain, som påpeker at 74 % av cyberangrepene er forårsaket av menneskelige faktorer. Lederen fremhever hvordan tilstrekkelig opplæring av ansatte kan være avgjørende for en effektiv sikkerhetsstrategi.
Baiardi anser mennesket som det svakeste leddet når man håndterer cyberrisikoer i et bedriftsmiljø. «Alle i selskapet må forstå at de er ansvarlige for datasikkerhet, og dette oppnås kun gjennom opplæring, ansvarlighet og kommunikasjon mellom avdelinger. Alle må være klar over risikoene de er utsatt for.»
Ekspertens mening utfyller det som ble funnet i Proofpoints rapport om menneskelige faktorer fra 2023, som fremhever den betydelige rollen menneskelige faktorer spiller i sikkerhetssårbarheter. Studien avslører en tolvdobling i volumet av sosialtekniske angrep via mobile enheter, en type angrep som starter med tilsynelatende harmløse meldinger som genererer relasjoner. Dette skjer, ifølge Baiardi, fordi menneskelig atferd kan manipuleres. «Som den legendariske hackeren Kevin Mitnick sa, er det menneskelige sinnet den enkleste ressursen å hacke. Tross alt har mennesker et emosjonelt lag som er svært utsatt for ytre påvirkning, noe som kan føre til overilede handlinger som å klikke på ondsinnede lenker eller dele sensitiv informasjon», sier han.
Phishing-sett designet for å omgå flerfaktorautentisering (MFA), og skybaserte angrep, der omtrent 94 % av brukerne blir målrettet hver måned, er også blant de hyppigst registrerte truslene i rapporten.
De vanligste feilene
Blant de vanligste feilene som fører til sikkerhetsbrudd, lister Baiardi opp: å ikke bekrefte ektheten av e-poster; å la datamaskiner være ulåste; å bruke offentlige Wi-Fi-nettverk for å få tilgang til bedriftsinformasjon; og å utsette programvareoppdateringer.
«Disse atferdene kan åpne dører for inntrenging og datakompromittering», forklarer han. For å unngå å bli svindelforsøkt anbefaler eksperten å unngå å klikke på mistenkelige lenker. Derfor foreslår han å sjekke avsenderen, e-postdomenet og hvor viktig meldingen er. «Hvis det fortsatt er tvil, er et tips å la musepekeren holdes over lenken uten å klikke, slik at du kan se hele URL-en. Hvis den ser mistenkelig ut, er den sannsynligvis skadelig», råder han.
Nettfisking
Phishing er en av de største cybertruslene, og bruker bedrifts-e-post som angrepsvektor. For å beskytte mot dette foreslår Baiardi en lagdelt tilnærming: bevisstgjøring og opplæring av ansatte, i tillegg til robuste tekniske tiltak.
Å holde programvare og operativsystemer oppdatert er viktig for å redusere sårbarheter. «Nye sårbarheter dukker opp daglig. Den enkleste måten å redusere risikoer på er å holde systemene oppdaterte. I forretningskritiske miljøer, der konstante oppdateringer ikke er mulige, er det behov for en mer robust strategi.»
Han gir et eksempel fra den virkelige verden på hvordan effektiv opplæring bidrar til å forhindre angrep. «Etter å ha implementert phishing-simuleringer og opplæring, observerte vi en betydelig økning i rapporter om phishing-forsøk fra ansatte, noe som viser en mer raffinert kritisk sans i møte med trusler.»
For å måle effektiviteten av opplæringen foreslår Baiardi å definere et tydelig omfang og gjennomføre periodiske simuleringer med forhåndsdefinerte målinger. «Det er nødvendig å måle mengden og kvaliteten på de ansattes responser på potensielle trusler.»
Lederen viser til en rapport fra utdanningsselskapet Knowbe4 innen cybersikkerhet, som viser at Brasil sakket etter land som Colombia, Chile, Ecuador og Peru. Undersøkelsen fra 2024 fremhever problemet med at ansatte forstår viktigheten av cybersikkerhet, men ikke helt forstår hvordan trusler fungerer. Derfor understreker den viktigheten av organisasjonskultur for å fremme sikker praksis: «Uten et godt implementert program for cybersikkerhetskultur er det umulig å måle modenhetsnivået et selskap har på dette området.»
Spesialisten er også ansvarlig for å lede leveransen av cybersikkerhetstilbud promotert av dataRain, som tilbyr robuste og raskt implementerede løsninger som e-postsikkerhet, samsvars- og sårbarhetsvurderinger, endepunktsikkerhet og skystyring. «Cybersikkerhet er en kontinuerlig utfordring, og mennesker er grunnleggende for å sikre beskyttelse av informasjon og systemintegriteten. Å investere i opplæring og bevissthet er å investere i sikkerheten til hele organisasjonen. Og alle våre leveranser ledsages av kunnskapsoverføring, noe som lar oss øke kundens bevissthet om trusler», avslutter han.
