Med teknologien i stigende grad sammenflettet med alle aspekter af erhvervslivet kan CNET @ Work hjælpe dig - prosumere til små virksomheder med færre end fem medarbejdere - komme i gang.

Sans fornuft går kun så langt, og du skal sørge for, at bedste praksis omkring sikkerhed ikke går i ét øre og ud for det andet. Her er din angrebsplan.

Når det kommer til cybersikkerhed, sikrer softwarefirmaet AutoClerk, at dets 25 medarbejdere ved, at de er på frontlinjen af ​​noget, der ligner et liv og dødsslag.

"Hvis de ikke er opmærksomme på cybersikkerhed, før vi ansætter dem, vil vi gøre dem opmærksomme", sagde Charlotte Gibb, medejer af Walnut Creek, Californiens udvikler, der leverer software til hotel- og hospitalsbranchen. "Vores kunder er ofte mål for cyberangreb, og vi skal derfor være meget opmærksomme på, hvordan dette kan påvirke vores kunder. Vi tager cybersikkerhed meget alvorligt."

Hun skulle. Cyberkriminelle tager særligt sigte på små virksomheder. Omkring 18 procent af phishing-kampagner rettede sig mod små virksomheder i 2011; Nummeret har siden steget til mere end 43 procent af det samlede antal phishing nu det vigtigste køretøj til at levere ransomware og malware angreb.

Truslerne er ikke begrænset til phishing-e-mails. De fleste sikkerhedsbrud stammer fra skødesløse medarbejderbeslutninger. Cyberkriminelle vil forsøge at infiltrere en organisation ved hjælp af social engineering taktik for at få medarbejder tillid. Eller de kan bare lade sig omkring inficerede USB-flashdrev, og håber at nogen vælger en og sætter den i deres computer. Et nyligt populært træk er e-mail-kompromiset, hvor svindlere retter sig mod medarbejdere, der har adgang til virksomhedens økonomi, til at narre dem til at sende overførsler til falske bankkonti.

Alle kan forårsage kaos. Omkring 60 procent af de små virksomheder kan ikke opretholde deres forretning mere end seks måneder efter at have lidt en cyberattack, ifølge US National Cyber ​​Security Alliance.

At slå tilbage truslen hængsler på overbevisende medarbejdere til at sætte i praksis hvad de læres om cybersikkerhed. Selv da er der stadig ingen garanti medarbejdere vil gøre det rigtige.

"Medmindre du er villig til at gøre din arbejdsplads ubehagelig og hænge over en persons skulder, ved du det ikke rigtig, " sagde Gibb. "Du skal i princippet have tillid til dine medarbejdere. På et tidspunkt skal du have tillid til de mennesker, du har ansat, fordi du overlader dem til dine kunder og dine kritiske oplysninger."

Gør beskedpinden

Det er et populært og præcist kliché i sikkerhedsbranchen, at medarbejderne udgør en virksomheds første forsvarslinje mod ondsindet eller kriminel aktivitet. Og derfor er det vigtigt at fortsætte med at forkynde evangeliet, indtil bedste praksis omkring cybersikkerhed bliver anden for dit folk.

Uddannelse er nøglen til at undervise medarbejderne i en fælles ansvarsfølelse for de data, de arbejder med. Enhver kampagne skal blive en del af en løbende proces. Mens nogle små virksomheder kan mærke, at de mangler ressourcerne, er der måder at styre en effektiv cybersikkerhedskampagne uden at bryde banken.

● Vælg ikke for skræmmende taktik. Målet er at opbygge en kultur med cyberbevidsthed, så behandle sikkerhedsbevidsthed som en marketingkampagne med det formål at overtale.

● Start lille med et par videoer eller infographics for at sparke ting væk. Medtag plakater, konkurrencer og andre påmindelser til at køre hjem en letforståelig besked: Sikkerhed er alles personlige ansvar.

● Spild ikke tid med at sende lange notater, som kun bliver ignoreret. Hold det sjovt, hold det kort. Du forsøger at uddanne medarbejderne om bedste praksis, uden at tvinge dem til at spise deres spinat. Når alle kan have en god latter, kan de også lære på samme tid.

● Fremme temaet med kvartalsvise opfølgningskampagner, der understøtter cybersikkerhedsbevidsthed. Opfølg træningen ved at teste hvor godt lektionen blev lært. Send lejlighedsvis falske phishing-e-mails for at kontrollere, hvor mange medarbejdere der stadig ikke kan genkende truslen.

Ændring af medarbejderadfærd kan lyde som en skræmmende opgave. Men selvom du ikke kan fjerne alle cyberangreb mod organisationen, kan du stadig fremme forhold, der hjælper med at reducere truslen. Hvis medarbejderne går væk fra programmet med en mere seriøs forståelse af grundlæggende cybersikkerhed, er der allerede sket fremskridt i spader.

Gulerødder og pinde

"Et sikkerhedsbrud ville ødelægge vores omdømme og kunne konkludere selskabet, " siger David Cox, administrerende direktør for LiquidVPN, en VPN-leverandør i Cheyenne, Wyoming.

Det er et nøgternt scenario, og det er derfor, han udnytter en konstant blanding af gulerødder og stave for at holde sin stab "på tæerne". For eksempel dråber Cox periodisk en tastetryksindsprøjtningsenhed skjult som et USB-drev i en gang, et badeværelse eller en lobby. "Hvis nogen plugger det til et af vores arbejdsstationer, får jeg en rapport, der indeholder deres brugerkonto og enheds-id, " sagde han.

Han indgår også en tredjeparts service, der er specialiseret i falsk phishing og malware angreb. Hvis nogen fejler en test eller bliver ramt af et rigtigt angreb, bliver de trukket til side og interviewet for at finde ud af, hvorfor det lykkedes.

"Vi forsøger at demonstrere, hvad der kunne ske, hvis de ikke tager cybersikkerhed alvorligt, og jeg belønner medarbejdere, der er proaktive, " ifølge Cox.

På samme tid, hvis en medarbejder gør noget ekstraordinært eller på en eller anden måde demonstrerer et højt niveau af situationsbevidsthed, får de belønnet med billetter til et spil, middag til to eller et Amazon gavekort.

Men i sidste ende er indsatsene for høje for at lade dårlig cybersikkerhedsydelse fortsætte på ubestemt tid.

"Vi giver medarbejderne en passende træning, og hvis de ikke er i stand til at demonstrere den slags situationsbevidsthed, vores branche kræver, ville jeg ikke have andet valg end at lade dem gå, " sagde han. "Det er endnu ikke sket. Og jeg håber oprigtigt det ikke."