PHISHISHE: Comment les systèmes de santé peuvent-ils réévaluer la formation à la sécurité des employés
Les acteurs nuisibles savent que les employés sont leurs points d’entrée les plus simples, explique l’analyste de la stratégie d’entreprise John Grady.
“Les employés sont des maillons les plus faibles sans leur propre culpabilité. Ils ont une orientation différente, en particulier dans les soins de santé”, explique Grady. “Pour les ransomwares, c’est juste un utilisateur qui clique accidentellement sur quelque chose. Doit déplacer l’esprit et la seule façon d’y parvenir est de l’éducation des utilisateurs.”
Les organisations de toutes les industries notent que la mauvaise formation des utilisateurs peut affecter la cybersécurité: 31% des créateurs informatiques avec des pouvoirs de prise de décision cités insuffisants ou inefficaces comme la formation des employés comme principales préoccupations concernant leur stratégie, selon un rapport de recherche CDW CDW 2024.
Amélioration de la formation pour éviter les tentatives de phishing réussies
Comme tous les campus de l’Université de Californie, UC San Diego Health nécessite une formation annuelle sur la cybersécurité qu’il effectue via le système de gestion de l’apprentissage. L’organisation complète cela par des simulations de phishing mensuelles; Par exemple, l’envoi de faux plimings de phishing comme test.
Récemment, Currie a accru la troisième expérience de la formation: une session personnelle adaptée à un département spécifique.
Ceci est en réponse à une étude récente de UC San Diego Health, qui a révélé que deux formes communes de formation – une formation annuelle en matière de sécurité et des attaques de phishing simulées – offrent une valeur limitée. En fait, dans ces exercices de phishing simulés, les utilisateurs formés n’avaient que 1,7% de défaillance inférieure à celui des utilisateurs non entraînés.
Currie a aidé à l’étude parce qu’il voulait comprendre la meilleure façon de former les employés. Il augmente désormais des séances personnelles pour améliorer la formation. Ils effectuent ces formations spécifiques à la séparation en personne ou via des appels vidéo et les adaptent aux risques spécifiques des emplois.
Par exemple, un partenaire commercial compromis peut envoyer un e -mail pour demander des informations bancaires. “Nous essayons de faire plus de ces personnes. Je pense que c’est de loin le moyen le plus efficace pour amener les gens à comprendre les risques”, dit-il.
En savoir plus: Comprendre le phishing adapté à l’ère de l’IA générative.
Currie voit toujours le mérite dans les exercices de phishing simulés, donc il les fait toujours. “Bien qu’il soit marginal ou négligeable, il y a toujours une certaine valeur, car au moins cela nous permet de convertir et de sensibiliser les employés et les facultés tout au long de l’année”, dit-il.
UC San Diego Health a déployé la porte E-Mail Secure Gate of Proofpoint qui vérifie le message E-Mail et bloque le spam et le montant E malveillant. Proofpoint permet également à Currie et à son équipe d’effectuer une simulation de phishing mensuelle.
“Ceux qui cliquent visent à expliquer ce qu’ils devraient se détourner, c’était une fausse tentative de phishing”, dit-il.
Une couverture médiatique accrue de la violation et de l’expérience personnelle des employés ayant des tentatives d’ingénierie sociale contribue à renforcer la formation formelle, ajoute Currie. En conséquence, davantage d’employés transmettent désormais des équipes de sécurité informatique suspectes recommandées pour la formation.
“Nous allons le regarder et vous donner un verdict”, dit-il. “Nous ne vous giflons jamais sur votre poignet. Nous vous féliciterons que vous êtes prudent.”
