Ransomware, in all seinen durchdringenden Formen, verbunden mit der überwiegenden Mehrheit der im Gesundheitswesen cyber-Vorfälle, und es ist oft einfach eine Folge von unzureichender Sicherheit Ausbildung. Weil, dass die Unzureichende security-Schulungen sind die Mitarbeiter mit und re-mit schwachen oder bereits kompromittierten Passwörter, klicken auf links, die Sie nicht sein sollte, verlassen Datenbanken ungesichert, nicht anwenden von Sicherheits-patches oder das speichern von geschützten gesundheitlichen Daten auf USB-Laufwerke und Sie zu verlieren.
Dieser Fehler, schwache Passwörter, phishing-Angriffe und eine fehlende Sicherheits-Patches sind die meisten oft die Ursache der meisten, wenn nicht alle, der ransomware-Angriffe Gesundheits-IT-Führungskräfte davon zu Lesen. Organisationen im Gesundheitswesen lösen können, zumindest ein großer Teil des Problems durch die Implementierung von Mitarbeiter-security-awareness-training, das sowohl Ansprechend und konsistent.
Leicht verdaulich und prägnant
„Alle Mitarbeiter, die Ausbildung sollte leicht verdaulich und auf den Punkt“, riet Kevin Lancaster, general manager of security solutions bei Kaseya, einem Anbieter von IT-management-software. „Ich habe gesehen, viele Trainings-videos, die waren verzweifelt, hip zu sein und einnehmend, aber die Wunde kommt rüber wie ein schlechter Witz.“
Selbst wenn Sie hatten es geschafft, sich im einnehmenden, waren Sie oft viel zu lange, fügte er hinzu. Es spielt keine Rolle, wie groß die Daten in ein video ist, wenn er mehr als 5 Minuten lang, niemand zahlt Aufmerksamkeit auf Sie, und Sie werden gegraust haben, um es zu sehen, er kämpfte. Wenn Mitarbeiter fürchten oder ärgern-training, Sie sind nicht zur Aufbewahrung der Daten, sagte er.
„Ich habe gesehen, einige Organisationen, wo ES absichtlich zufällige USB-Laufwerke, um zu sehen, wer Sie aufnimmt und was Sie tun.“
Kevin Lancaster, Kaseya
„Ziel ist es, Ihre Trainings-videos werden zwischen 3 und 5 Minuten lang,“ Lancaster vorgeschlagen. “Sie sollte das Thema und zu erziehen, auf Sie, ohne zu versuchen, zu aufdringlich sein. Sie sollte gefolgt von einem schnellen quiz ist leicht zu beantworten, sofern die Beklagte war, die Aufmerksamkeit auf die Ausbildung. Sie versuchen nicht stumpf die Leute hier, aber zur gleichen Zeit, zu Fragen “ Ist phishing schlecht? Ja oder Nein? “ nicht zu zeigen, dass die Einnahme von Informationen.“
Am Ende des Tages, ist der Vorsatz eines jeden Trainings, aber vor allem security-awareness-training sollte sein, dass der Empfänger zeigt Sie angemessen empfangen und verinnerlicht die Informationen, sagte er. Wenn die Ausbildung nicht machen, dass man effektiv lähmt den rest der Organisation, die Sicherheit aus dem Tor, fügte er hinzu.
Aktives training Methoden
Neben passiven Trainings-Methoden wie videos, Gesundheitswesen CIOs und CISOs sollten auch beschäftigen aktives training Methoden, Lancaster geraten. Passives training hat seinen Platz und ist eine solide Grundlage für den Aufbau einer Kultur der Sicherheit, aber man muss Sie auch bauen auf dieser Basis auf, sagte er.
„Eine der effektivsten Arten von aktiven training phishing-simulation“, schlug er vor. “Wie der name schon sagt, Sie mail aus simulierten phishing-versuche, um Menschen in Ihrer Organisation und verfolgen Ihre Antwort. Dies hilft Ihnen, zu bekommen ein besseres Gefühl der Sicherheit Bewusstsein von Einzelpersonen in Ihrer Organisation.“
Während ein Mitarbeiter könnte auf der Oberseite sein Ihre-Spiel, ein weiterer könnte die übermittlung von Daten zu jedem phishing-E-Mail, die er bekommt. So ist es am besten direct limited-training-Ressourcen, wo Sie am meisten gebraucht werden, sagte er. Lancaster sagte, er hat Fälle gesehen, wo nur zu wissen, dass phishing-simulation geht in die Organisation und das management sieht die Ergebnisse verbessert Leute Vorsicht mit Klick auf skizzenhafte E-Mails.
„Ich habe gesehen, einige Organisationen, wo ES absichtlich zufällige USB-Laufwerke, um zu sehen, wer Sie aufnimmt und was Sie tun,“ fügte er hinzu. “Dies ermöglicht es dem IT-team zu verfolgen, ob oder nicht, die Leute sofort brachte Sie das USB-zu Ihnen oder, wenn Sie stattdessen steckte es in Ihre Maschine. Hatte dort Zugang zu den Anmeldeinformationen Kompromiss monitoring habe ich gesehen, wie Sie gehen und versuchen, Sie zu verwenden diese Anmeldeinformationen auf Ihre Unternehmens-Netzwerk.“
Schulungen für IT-Mitarbeiter
Auf der Seite von spezifische Ausbildung für IT-Mitarbeiter, die Simulation von disaster-recovery-oder incident-response kann ein sehr mächtiges Werkzeug, Lancaster sagte. Die wichtige take-away mit jedem Simulations-training ist, dass es braucht, um so realistisch wie möglich sein, stellte er fest.
„Sie trainieren, wie Sie kämpfen, und wenn Sie trainieren weniger realistisch wirst du bei einem gravierenden Nachteil, wenn die wirkliche Gefahr kommt“, sagte er. „Auf der anderen Seite, wenn die Ausbildung identisch mit der realen Sache, werden Sie schneller auf die Auslosung, und es wird einfach nur etwas, was Sie getan haben Dutzende oder Hunderte Male.“
An einer anderen front, Einsatz von positiver Verstärkung der Ausbildung ist ein entscheidendes element für die Schaffung einer Unternehmenskultur, die Sicherheit, Lancaster geraten.
„Negative Verstärkung hat seinen Platz, aber wie jede andere organisatorische Aufwand, wenn Sie nur negative Verstärkung, für nicht-konforme Mitarbeiter, werden Sie sich nur konform genug, um nicht gefeuert“, betonte er. “Wenn Ihr Unternehmen gibt regelmäßige Auszeichnungen, fügen Sie eine Auszeichnung für cybersecurity. Wenn Sie verwenden active training-Simulationen, wie Sie sollte, geben wer am besten über das Quartal ein Geschenk-Karte.“
Die Botschaft: Management-Werte-Mitarbeiter‘ Bemühungen
Band cybersecurity in performance reviews, fügte er hinzu. Was auch immer es nimmt, solange man das senden der Nachricht an die Mitarbeiter, dass das management die Werte, die Sie und Ihren Beitrag für die Sicherheit der Organisation, sagte er.
„Wenn diese gebracht wird, viele Organisationen, die zu Unrecht glauben, dass Sie gesagt hat, Sie müssen beträchtliche Ressourcen, um Ihre positive Verstärkung-Programme, aber nichts könnte weiter von der Wahrheit“, sagte er. “Eine kleine Belohnung einmal ein Viertel kann gehen einen langen Weg. Sehr wahrscheinlich, dass Ihr Unternehmen bereits über eine positive Verstärkung system, es muss nur Unentschieden in der cybersecurity.“
Mitarbeiter wie Gefühl geschätzt, an Ihrem Arbeitsplatz, Schloss er, und die Förderung einer Kultur, wo cybersecurity ist geschätzt und priorisiert profitiert nicht nur der Arbeitnehmer, sondern der Arbeitsplatz als ganzes.
Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.