ビデオ: La Voz De WNY (十一月 2024)
サイバー攻撃から会社を安全に保つことは、エンドポイント保護ソフトウェアを実装するほど簡単ではありません。 毎日、仕事前、仕事中、仕事後に何を探すべきかを知るために、従業員全員を訓練する必要があります。 フィッシング、物理的な盗難、スパムなどのことは、ビジネスに劇的な害を及ぼす可能性があります。
国家サイバーセキュリティアライアンスのエグゼクティブディレクターであるマイケルカイザーに、潜在的なサイバー攻撃を警戒するために企業が労働者に情報とツールを提供する多くの方法について話を聞きました。 チームのトレーニングが終了したら、Bitdefender、Kaspersky Lab、Symantecなどのネットワークおよびデバイスセキュリティの維持に役立つソフトウェアを提供するのは、ユーザーまたはIT部門の責任です。
1.フィッシングとスパムのトレーニングを提供する
Business Email Compromise(BEC)は、知らない受信者から情報を抽出する詐欺メッセージで標的企業を攻撃します。 BEC攻撃の優れた例は、会社のCEOを装った誰かから会社の人事(HR)部門に送信される詐欺メールです。 HRマネージャーは、自分が詐欺されていることに気付かずに、個人の従業員データを詐欺師に喜んで送信します。
これらの電子メールまたはその他の種類のスパム攻撃を探すように従業員を訓練して、疑わしいものを受け取った場合にITに警告できるようにすることができます。 また、従業員を欺いて間違った種類の電子メールをクリックさせるフィッシングシミュレータトレーニングツールを購入することもできます。 攻撃シミュレーション電子メールをクリックする従業員には、明らかに追加のトレーニングと教育が必要になります。
2.利用規定の作成
従業員は、仕事中に会社のデバイスをどのように使用するかを自由に支配する必要はありません。 たとえば、どのWebサイトへのアクセスを許可するかを教えます。 ダウンロードを許可されているファイルを教えます。 どのワイヤレスネットワークが企業発行のものであり、使用しても安全であるかを伝えます。
ポリシーを設定したら、チームと定期的にポリシーを再確立することが重要です。 受け入れ可能なプロトコルを一貫して強調しないと、従業員はそれを忘れたり、満足したりする可能性があります。
3.強力なパスワードトレーニングを提供する
「新しい知恵は、パスワードを頻繁に変更しないことです。なぜなら、パスワードが変更されるたびに、新しいパスワードはますます弱くなるからです」とカイザー氏は言います。 IT部門に相談して、適切なパスワード変更の頻度(会社ごとに異なる)を考え出し、すぐにその頻度を使用し始めてください。
さらに、強力なパスワードを作成するように従業員を訓練する必要があります。 7文字を超える文字、大文字、数字、および記号を含むものはすべて、偶発的な攻撃を防ぐのに十分な強度である必要があります。 ただし、従業員に新しいパスワードの作成を求められたときにこれらの文字のいずれかを単純に変更しないように助言する必要があります。 代わりに、文字、数字、記号の新しいシーケンスを最初から作成する必要があります。
4.問題を報告するよう従業員に教える
従業員が必要のないものをクリックまたはダウンロードしたとしても、すべての脅威を報告することが重要です。 従業員に違反を報告することで安全を感じさせ、損害を覆したり、侵入を防いだりすると、チームが前進する可能性がはるかに高くなります。
「間違いを犯したとしても、人々が問題を提起できる非難のない雰囲気を構築する必要があります」とカイザー氏は言います。 「ビジネスにとって、潜在的な問題があることを知ることはより重要です。」
5.適切なデバイス管理を使用する
モバイルデバイス管理(MDM)ソフトウェアは、ソフトウェアを手動で更新する必要がある場合、従業員が不正を行った場合、または紛失または盗難にあったデバイスをリモートでワイプする必要がある場合に役立ちます。 しかし、会社が小さすぎたり、機器の全体を維持するには技術的に熟練していなかったりする場合は、物理的およびデジタル的にデバイスを適切に管理するよう従業員を訓練する必要があります。
新しい更新プログラムが利用可能になった場合、すべてのソフトウェアを更新する必要があることを従業員に知らせるようにしてください。 これらのアップデートには通常、セキュリティ脆弱性の修正が含まれています。 更新プログラムがなければ、脆弱性は存在し続けるため、ハッカーはデバイスおよびおそらくネットワーク全体にアクセスできます。
「彼らが常にデバイスの物理的なセキュリティを認識していることを確認してください」とカイザーは言いました。 「彼らがデバイスを放置したままにしていないこと、およびデバイスが車両にあるときに適切に保管されていることを確認してください。 また、Kaiserは、デバイスの物理的な制限を理解するために従業員を訓練することが重要であると述べました。 彼らは防水ですか? 彼らは防塵ですか? デバイスの安全な高温および低温のしきい値は何ですか?
さらに、企業データを格納するすべてのデバイスをパスコード化するか、生体認証読み取りで開く必要があります。 これは、個人用デバイスであっても、誰もが従うべき単純なルールですが、より素朴なまたは頑固な従業員のために繰り返す価値があります。
6.リモートアクセスとWi-Fiトレーニングを実施する
セキュリティに不安がある場合(絶対にそうするべきです)、すぐに仮想プライベートネットワーク(VPN)をセットアップしてください。 従業員がリモートで作業している場合、その従業員はすべてのアクティビティで常にそのVPNを使用する必要があります。
また、従業員がオフィスを離れているときにWi-Fiを使用する方法に関するポリシーと手順を制定する必要があります。 アクセスするWi-Fiネットワークはパスワードで保護され、強力なセキュリティ設定を備えている必要があります。 従業員がスマートフォンやタブレットを使用しているときは、未知のWi-Fiネットワークではなく、常にデバイスの携帯電話データプランを使用することを選択する必要があります。
