หนึ่งในความกังวลหลักของบริษัทคือการป้องกันภัยคุกคามดิจิทัล. และแม้จะนำมาตรการหลายอย่างมาใช้, แอปพลิเคชันและโซลูชันนวัตกรรมเพื่อป้องกันการบุกรุกและการขโมยข้อมูล, ปัญหาไม่ได้ขึ้นอยู่กับเทคโนโลยีขั้นสูงเพียงอย่างเดียว, แต่ยังเกี่ยวกับพฤติกรรมของมนุษย์. การยืนยันมาจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ของ dataRain, ลีโอนาร์โด ไบอาร์ดี, ซึ่งชี้ให้เห็นว่า 74% ของการโจมตีทางไซเบอร์มีสาเหตุมาจากปัจจัยมนุษย์. ผู้บริหารเน้นย้ำว่าการฝึกอบรมที่เหมาะสมของพนักงานสามารถเป็นสิ่งสำคัญต่อกลยุทธ์ด้านความปลอดภัยที่มีประสิทธิภาพ.
Baiardi ถือว่ามนุษย์เป็นจุดอ่อนที่สุด, เมื่อเราพูดถึงความเสี่ยงทางไซเบอร์ในสภาพแวดล้อมขององค์กร. ทุกคนในบริษัทต้องเข้าใจว่าตนมีความรับผิดชอบต่อความปลอดภัยของข้อมูล, และสิ่งนี้สามารถทำได้เพียงผ่านการฝึกอบรม, ความรับผิดชอบและการสื่อสารระหว่างพื้นที่. ทุกคนต้องตระหนักถึงความเสี่ยงที่พวกเขาเผชิญอยู่.
ความคิดเห็นของผู้เชี่ยวชาญเสริมสิ่งที่พบในรายงานปัจจัยมนุษย์ปี 2023, จาก Proofpoint, ที่เน้นบทบาทที่สำคัญของปัจจัยมนุษย์ในช่องโหว่ด้านความปลอดภัย. การศึกษาเผยให้เห็นการเพิ่มขึ้นสิบสองเท่าในปริมาณการโจมตีทางสังคมวิศวกรรมผ่านอุปกรณ์เคลื่อนที่, ประเภทของการโจมตีที่เริ่มต้นด้วยข้อความที่ดูเหมือนไม่เป็นอันตราย, สร้างความสัมพันธ์. สิ่งนี้เกิดขึ้น, ตามที่ Baiardi กล่าว, เพราะพฤติกรรมของมนุษย์สามารถถูกควบคุมได้. “เคยกล่าวไว้โดยแฮ็กเกอร์ในตำนาน เควิน มิตนิก, จิตใจของมนุษย์เป็นสินทรัพย์ที่แฮ็กได้ง่ายที่สุด. สุดท้าย, มนุษย์มีชั้นอารมณ์ที่มีความไวต่ออิทธิพลภายนอกสูง, สิ่งที่อาจนำไปสู่วิธีการที่รีบเร่งเช่นการคลิกลิงก์ที่เป็นอันตรายหรือการแชร์ข้อมูลที่ละเอียดอ่อน, พูด
ชุดฟิชชิ่งสำหรับข้ามการตรวจสอบสิทธิ์หลายปัจจัย (MFA); การโจมตีที่อิงจากคลาวด์, ซึ่งประมาณ 94% ของผู้ใช้เป็นเป้าหมายของการโจมตีทุกเดือน, ยังอยู่ในกลุ่มภัยคุกคามที่ถูกบันทึกมากที่สุดในรายงาน
ข้อผิดพลาดที่พบบ่อยที่สุด
ข้อผิดพลาดที่พบบ่อยที่สุดที่นำไปสู่ความล้มเหลวด้านความปลอดภัย, Baiardi รายการ: ไม่ตรวจสอบความถูกต้องของอีเมล; ปล่อยให้คอมพิวเตอร์ไม่ล็อก; การใช้เครือข่าย Wi-Fi สาธารณะเพื่อเข้าถึงข้อมูลของบริษัท; และเลื่อนการอัปเดตซอฟต์แวร์.
“พฤติกรรมเหล่านี้อาจเปิดประตูสู่การบุกรุกและการละเมิดข้อมูล”, อธิบาย. เพื่อไม่ให้ตกเป็นเหยื่อของการหลอกลวง, ผู้เชี่ยวชาญแนะนำให้หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัย. เพราะฉะนั้น, ระบุให้ตรวจสอบผู้ส่ง, โดเมนอีเมลและความเร่งด่วนของข้อความ. หากยังมีข้อสงสัยอยู่, เคล็ดลับคือการวางเมาส์เหนือลิงก์โดยไม่คลิก, อนุญาตให้มองเห็น URL เต็มรูปแบบ. ถ้าดูมีพิรุธ, อาจเป็นอันตราย, ข้อมูล
ฟิชชิ่ง
ฟิชชิงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุด, การใช้อีเมลของบริษัทเป็นช่องทางในการโจมตี. เพื่อปกป้องตัวเอง, Baiardi แนะนำวิธีการแบบหลายชั้น: การสร้างความตระหนักและการฝึกอบรมสำหรับพนักงาน, นอกจากมาตรการทางเทคนิคที่เข้มงวด
การรักษาซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยเป็นสิ่งสำคัญในการลดช่องโหว่. “ช่องโหว่ใหม่เกิดขึ้นทุกวัน. วิธีที่ง่ายที่สุดในการลดความเสี่ยงคือการรักษาระบบให้ทันสมัย. ในสภาพแวดล้อมที่มีความสำคัญต่อภารกิจ, ที่ซึ่งไม่สามารถทำการอัปเดตอย่างต่อเนื่องได้, จำเป็นต้องมียุทธศาสตร์ที่แข็งแกร่งมากขึ้น
เขานำเสนอกรณีตัวอย่างจริงเกี่ยวกับวิธีการฝึกอบรมที่มีประสิทธิภาพช่วยป้องกันการโจมตี. “หลังจากดำเนินการจำลองการฟิชชิ่งและการฝึกอบรม, เราสังเกตเห็นการเพิ่มขึ้นอย่างมีนัยสำคัญของรายงานเกี่ยวกับความพยายามในการฟิชชิ่งจากพนักงาน, แสดงให้เห็นถึงการมีวิจารณญาณที่เฉียบแหลมมากขึ้นต่อภัยคุกคาม
เพื่อวัดประสิทธิภาพของการฝึกอบรม, Baiardi แนะนำให้กำหนดขอบเขตที่ชัดเจนและทำการจำลองเป็นระยะ ๆ ด้วยมาตรฐานที่กำหนดไว้ล่วงหน้า. “จำเป็นต้องวัดปริมาณและคุณภาพของการตอบสนองของพนักงานต่อภัยคุกคามที่อาจเกิดขึ้น”
ผู้บริหารกล่าวว่า, ตามรายงานที่สองของบริษัทการศึกษาในด้านความปลอดภัยไซเบอร์, โนว์บี4, บราซิลอยู่หลังประเทศอย่างโคลอมเบีย, ชิลี, เอกวาดอร์และเปรู. การสำรวจในปี 2024 ชี้ให้เห็นถึงความสำคัญที่พนักงานต้องเข้าใจเกี่ยวกับความปลอดภัยทางไซเบอร์, แต่ไม่เข้าใจ, จริง ๆ แล้ว, การทำงานและการดำเนินการของภัยคุกคาม. เพราะฉะนั้น, เน้นความสำคัญของวัฒนธรรมองค์กรในการส่งเสริมการปฏิบัติที่ปลอดภัย: “หากไม่มีโปรแกรมที่ดำเนินการอย่างดีในวัฒนธรรมความปลอดภัยไซเบอร์, เป็นไปไม่ได้ที่จะวัดระดับความเป็นผู้ใหญ่ที่บริษัทมีในด้านนี้.
ผู้เชี่ยวชาญยังมีหน้าที่รับผิดชอบในการนำเสนอข้อเสนอด้านความปลอดภัยไซเบอร์ที่ส่งเสริมโดย dataRain, ที่นำเสนอวิธีแก้ปัญหาที่มีความแข็งแกร่งและสามารถนำไปใช้ได้อย่างรวดเร็ว, ความปลอดภัยของอีเมล, การประเมินความสอดคล้องและความเปราะบาง, ความปลอดภัยของจุดสิ้นสุด, การบริหารจัดการในคลาวด์. ความปลอดภัยไซเบอร์เป็นความท้าทายที่ต่อเนื่อง, และผู้คนเป็นส่วนสำคัญในการรับประกันการปกป้องข้อมูลและความสมบูรณ์ของระบบ. การลงทุนในการฝึกอบรมและการสร้างความตระหนักคือการลงทุนในความปลอดภัยของทั้งองค์กร. และการส่งมอบของเราทุกครั้งจะมีการถ่ายทอดความรู้, ที่ช่วยเพิ่มระดับความตระหนักของลูกค้าเกี่ยวกับภัยคุกคาม, จบลง
