Opplæring i cybersikkerhet på tvers av avdelinger for digitale markedsførere

Intro

Cyberkriminelle er på fremmarsj, både i antall og kreativitet. Visste du at både forbrukere og bedrifter tapte 12,5 millioner dollar på grunn av nettkriminalitet i 2023, og at dette tallet ifølge FBI sannsynligvis fortsatt er i underkant?

Vi kan dessuten forvente at dette tallet vil fortsette å stige, ettersom data viser at 2023 var et rekordår for dataangrep, med en volumøkning på 72 % fra 2021 (den tidligere rekorden for flest angrep). Det er verdt å merke seg at årsaken til slike angrep vanligvis er hverdagslig, og at e-postangrep er et av de vanligste. 94 % av organisasjonene rapporterte om datainnbrudd via skadevare via e-post, og undersøkelser viser at 35 % av skadevareangrepene leveres via e-post.

Til sammenligning er det gjennomsnittlige tapet som følge av datainnbrudd på 4,4 milliarder dollar. Sagt på en annen måte: Organisasjonen din er én dårlig e-post unna å tape mye penger. Og dette er bare e-poster; nettkriminelle øker dessverre innsatsen i takt med den teknologiske utviklingen.

Unsplash

Selv om disse tallene er skremmende, understreker de behovet for at enheter på tvers av bedriften går sammen for å beskytte bedriftens data. Det er ikke nok at bedriften bare har et team som er dedikert til å vedlikeholde programvaren for cybersikkerhet; teamene i hele organisasjonen må kjenne til og implementere beste praksis for cybersikkerhet i sine daglige oppgaver.

Dette gjelder spesielt for markedsavdelingen. Markedsavdelingen har tilgang til store mengder kundedata, og bruker disse dataene aktivt i sitt daglige arbeid. Dette gjør markedsavdelingen til et spesielt verdifullt mål for nettkriminelle. Hvis en mindre erfaren praktikant eller til og med en overarbeidet direktør åpner feil e-post, klikker på feil lenke eller på annen måte åpner døren, kan bedriften gå glipp av flere millioner dollar. For ikke å snakke om omdømmet ditt, ettersom det er mindre sannsynlig at kundene vil betro dataene sine til en organisasjon som oppbevarer dem på feil sted.

Så hvordan kan du forberede markedsavdelingen din på å unngå cybersikkerhetstrusler? Hva skal til for å få alle til å bli oppdatert på cybersikkerhetsprotokollene, og hvordan kan du måle teamets fremgang etter hvert som de gjennomfører programmet? I denne artikkelen gir vi deg praktiske tips og triks som kan hjelpe deg med å samle teamene til en samlet front som beskytter bedriftens data og unngår cybersikkerhetstrusler, selv når de utvikler seg.

Økt bevissthet

Unsplash

Teamene kan ikke begynne å håndtere en trussel de ikke er klar over. Du bør aldri anta at alle i markedsføringsteamet ditt er klar over (selv på et grunnleggende nivå) hvilke taktikker nettkriminelle bruker for å bryte gjennom. Utfør en grunnleggende revisjon av teamets bevissthet, og test kunnskapen deres om disse vanlige cyberangrepene:

• Skadeligprogramvare Hvordan får nettkriminelle ofte skadevare på de ansattes datamaskiner? Finnes det måter å unngå denne uønskede inntrengningen på?
• Phishing Hva bør du gjøre hvis du får en e-post fra utenfor bedriften med en klikkbar lenke nederst? Hva bør du gjøre hvis e-posten utgir seg for å være fra selskapet, men har en lignende klikkbar lenke og virker merkelig, for eksempel at administrerende direktør ber alle ansatte om å fylle ut et skjema?
• Bør du noen ganggi ut sensitiv informasjon, for eksempel bedriftsopplysninger, passord eller personlig informasjon, via nettet? Hvis noen som utgir seg for å være fra bedriften (men som du ikke kjenner igjen), ber deg om slike opplysninger via e-post, hvilke rutiner kan du følge for å verifisere at e-posten er korrekt?

Når du har fått en grunnleggende idé om teamets generelle bevissthet, er det på tide å gjøre din del av jobben og fylle hullene i kunnskapsbasen deres. Økt bevissthet er avgjørende for å redusere risiko, og det finnes måter å opprettholde denne bevisst heten på utover et opplæringsprogram som du bør vurdere å implementere i hele bedriften.

Selv om opplæringsprogrammer også er viktige (som vi skal komme tilbake til om et øyeblikk), er det viktig at cybersikkerhet er noe de ansatte tenker på hver dag, og det kan du oppnå med disse enkle prosessendringene.

• Protokoller for herding av enheter Innføring av en protokoll som krever at ansatte og andre brukere av bedriftens systemer ofte oppdaterer passordene sine. Dette er avgjørende, for selv ett system som fortsatt bruker et gammelt passord, er en sårbarhet som nettkriminelle kan og vil utnytte. Likevel avskriver mange organisasjoner dette trinnet som en bagatell som de kommer til senere - hvis det gjelder din organisasjon, er dette en av de første tingene du kan gjøre for å beskytte deg selv.
• Ende-til-ende-kryptering Det er viktig å ha et system på plass som kan kryptere data i bevegelse, men du må også sørge for at du er i stand til å kryptere data i hvile. De ansatte bør være klar over at disse systemene finnes og hvilken rolle de spiller.
• Patch Management Det er uunngåelig at sårbarheter blir både mer fremtredende og mer presserende etter hvert som operativsystemene blir eldre. Hold deg oppdatert ved å sende ut oppdateringer med jevne mellomrom, og oppfordre de ansatte til å oppdatere enhetene sine så ofte som mulig. Hvis en ansatt i markedsavdelingen av en eller annen grunn ikke installerer nevnte oppdateringer, legger vedkommende systemet sitt åpent for mulige angrep. Det er svært viktig å innføre en regelmessig oppdateringsprosess og holde de ansatte ansvarlige.

Når du har vurdert medarbeidernes eksisterende kunnskap og implementert disse rutinene i hele bedriften, er det på tide å gå videre til neste trinn: opplæring.

Innføring av et grundig opplæringsprogram

Unsplash

Nøkkelen til å innføre et opplæringsprogram som fester seg, er å ikke behandle det som et engangsseminar. Ingen, og jeg mener virkelig ingen, vil huske noe som helst fra et 30-minutters foredrag om farene ved cyberangrep, med bedriftstilpasset merkevarebygging og skinnende overganger. I beste fall vil teammedlemmene huske et faktum eller to hvis de vet at det er en test etterpå; i verste fall vil de bare minimere vinduet sitt og fokusere på arbeidet sitt, og behandle dette livsviktige kurset som en sjekk på HRs sjekkliste.

Den beste måten å sette i gang et opplæringsprogram som gir verdi, er å fokusere på praktisk innsikt. I stedet for en kort presentasjon kan du se på opplæringen som et kurs med flere seminarer, der de ansatte må demonstrere sine nyvunne kunnskaper hver gang. Du kan bruke ulike stadier av kurset til å lære dem ikke bare om grunnleggende beste praksis, men også om trender innen cybersikkerhet, for eksempel

• Blokkjedeteknologi Blokkjeden er en av de nyeste innovasjonene innen datasikkerhet, ettersom den innebygde sikkerheten gjør den ideell for datadeling og gjennomføring av transaksjoner. Et kort kurs om fordelene ved å bruke blokkjeden og de unike sikkerhetsspørsmålene som er knyttet til den, vil være en utmerket introduksjon, spesielt hvis organisasjonen din vurderer å bruke den.
• Mørke fiber nettverk Mørke fibernettverk er en ny måte å strukturere nettverk på som gir kontroll over stabilitet, sikkerhet og båndbredde, og de vinner raskt terreng. Dette skyldes delvis at de gjør det enkelt å implementere datasikkerhetsprotokoller, og delvis at de har forutsigbare kostnader og lav total ventetid. Opplæring i dette vil lære de ansatte hvordan de skal samhandle med et mørkt fibernettverk, hvilke kontroller som er på plass, og hvordan disse nettverkene legger til et ekstra sikkerhetslag.
• VPN VPN-er skaper på samme måte et ekstra lag med personvern når brukerne surfer på nettet, ved å kanalisere sensitive data gjennom en privat, kryptert kanal. VPN har blitt svært populært i det siste, og 77 % av forbrukerne bruker VPN for å beskytte sine private data når de er på nettet. Bruksområdene for bedrifter er like lovende, og det vil være viktig for ansatte som håndterer sensitive data å forstå hvordan man setter opp et VPN på riktig måte.
• DNS-beskyttelse DN S-verktøy begrenser hvilke typer nettsteder de ansatte kan få tilgang til når de søker på nettet, og filtrerer på forhånd bort nettsteder som har høy risiko for infeksjon med skadelig programvare. Når de ansatte vet at disse verktøyene finnes, og hvorfor de finnes, vet de at det er best å holde seg unna nettstedet de prøvde å få tilgang til, når de snubler i systemet.
• Zero Trust Networks Zero Trust Networks kombinerer streng identitetsverifisering med begrenset tilgang til bedriftsdata. Ved å forstå hvorfor disse kontrollene er på plass (og i noen tilfeller hvordan de innstilles), kan de ansatte lettere skille mellom sensitive data og informasjon som kan deles offentlig, slik at personvernet holdes i fokus.

Slike kurs må selvfølgelig også inneholde en innføring i de vanligste formene for dataangrep, som phishing, sosial manipulering, løsepengevirus og brute force-angrep. Ved å ta det et skritt videre får de ansatte kunnskap om hvilke løsninger som finnes, hvordan de fungerer og hvorfor de er nødvendige. Denne strategien forbereder de ansatte på å bruke disse løsningene, unngå sårbarhetene og beskytte dataene dine på en årvåken måte fra flere vinkler.

Måling av suksesser

Når du har økt bevisstheten og opprettet et opplæringsprogram for teknologi, må du kunne få en oversikt over teammedlemmenes fremgang. Det er viktig å sette opp KPI-er før du setter i gang med disse initiativene, slik at du kan se om du forbereder teamene dine på riktig måte.

Unsplash

Testing er ett av elementene du kan bruke, men du kan også følge med på innføringen av oppdateringer, overvåke tilgangen til sensitive data og innføre regelmessige oppfølgingssamtaler med teammedlemmer som ikke er like flinke til å tilpasse seg. Rapportering om forsøk på dataangrep (og hvordan teammedlemmene dine håndterte dem) kan også være nyttig, ettersom det gjør det mulig å finne sårbarheter i de nåværende prosessene og revurdere dem deretter.

Husk: Du er ikke sterkere enn det svakeste leddet ditt. Hold øynene på ballen, sørg for kontinuerlig opplæring og undersøk de nyeste cybersikkerhetstruslene med jevne mellomrom, så vil du holde de sensitive dataene dine både hemmelige og trygge.