Paano i-train ang staff sa security?

Ang mabuting pagsasanay sa seguridad ay simple, paulit-ulit, at naka-ugnay sa araw-araw na trabaho. Kadalasan, mas gumagana ang maiikling aralin kada buwan o kada quarter para sa maliliit na negosyo—hindi yung isang mahaba at taunang presentasyon.

Magsimula sa mga pangunahing kaalaman. Turuan ang mga tao kung paano tuklasin ang mga kahina-hinalang email, gumawa at gumamit ng malalakas na password, i-enable ang multi-factor authentication, o MFA, na ibig sabihin ay may ikalawang hakbang sa pag-login gaya ng code sa telepono, alagaan ang impormasyon ng customer, at iulat agad ang mga problema.

Pinakamabisa ang training kapag tumutugma ito sa mga totoong gamit ninyo sa team, gaya ng email, cloud file sharing, mga telepono, point-of-sale (POS) system, at mga business app. Ang layunin ay hindi gawing teknikal ang lahat. Ang layunin ay matulungan ang mga tao na huminto muna, mapansin ang panganib, at malaman ang susunod na hakbang.

Kung kailangan mo ng tulong sa paghahanap ng independiyenteng managed IT services provider, o MSP, na kumpanya na sumusuporta sa teknolohiya ng negosyo sa pamamagitan ng buwanang bayad, matutulungan ka ng NodeBridge IT na makakuha ng tugma. Nagbibigay lang kami ng pangkalahatang edukasyon at libreng pagmatch.

Maraming problema sa seguridad ng negosyo ang nagsisimula sa mga normal na sandali ng tao. May kumiklink sa maling link. May nagpapadala ng file sa maling tao. May gumagamit ulit ng password. May nagmamadali at ayaw nitong mapabagal ang trabaho.

Kaya mahalaga ang pagsasanay para sa staff. Kahit pa bayad kayo sa magagandang tools, araw-araw pa rin ang mga pagpiling ginagawa ng tao. Ang malinaw na mga gawi ay makakabawas sa mga pagkakamaling maiiwasan at makakatulong sa team na mas mabilis tumugon kapag may hindi mukhang tama.

Para sa maraming maliliit hanggang katamtamang laki ng negosyo, sumusuporta rin ang training sa tiwala ng customer at mga pangunahing inaasahan sa pagsunod. Nag-iiba ang mga kinakailangan ayon sa industriya at estado. Kung humahawak kayo ng health information, data ng payment card, o sensitibong tala ng kliyente, maaaring may mga partikular na patakaran ang negosyo ninyo na kailangang sundin.

Halimbawa, ang HIPAA ay nangangahulugang Health Insurance Portability and Accountability Act, isang batas sa US na may epekto sa ilang uri ng health information. Ang PCI ay nangangahulugang Payment Card Industry Data Security Standard, na naaangkop sa mga negosyong humahawak ng card payments. Ang ilang kumpanya ay maaari ring tanungin tungkol sa SOC 2, na isang reporting framework kung paano pinangangasiwaan ng isang service organization ang seguridad at mga kaugnay na kontrol. Ang training lang ay hindi awtomatikong nangangahulugang compliant na kayo, pero madalas itong bahagi ng paggawa nang tama sa mga bagay.

Maganda ang training kapag maikli, regular, at nakaayon sa role. Ang empleyadong nasa front desk, bookkeeper, manager, at supervisor ng bodega ay hindi lahat pareho ang mga panganib na kinakaharap. Dapat ay may mga halimbawa na tugma sa klase ng trabaho nila.

Maganda rin kung gumagamit ng malinaw na wika. Iwasan ang sobrang teknikal na usapan maliban kung ipinaliwanag. Halimbawa, ang endpoint ay anumang device na kumokonekta sa mga business system ninyo, gaya ng laptop, desktop, telepono, o tablet. Ang patching ay ang pag-install ng software updates na nag-aayos ng mga bug o kilalang isyu sa seguridad. Hindi kailangan ng mga empleyado ng malalim na detalye sa teknikal, pero dapat alam nila kung bakit mahalaga ang updates at bakit kailangan ng mga patakaran ang mga work device.

Ang isang magandang programa ay nagbibigay ng malinaw na mga aksyon. Kung nakatanggap ang isang empleyado ng kakaibang email na parang invoice, ano ang dapat niyang gawin? Kung nawala ang laptop, sino ang tatawagan? Kung nag-click siya ng link dahil sa pagkakamali, mananahimik na lang ba siya o mag-uulat agad? Ang mabuting training ay sumasagot nang malinaw sa mga tanong na ito.

Nakakatulong din kung may reinforcement mula sa managers. Kapag hindi pinapansin ng mga lider ang mga pamamaraan, gagayahin din iyon ng staff. Nagiging “totoo” ang mga gawi sa seguridad kapag itinuturing ng negosyo na bahagi ito ng normal na operasyon—hindi lang isang side topic minsan sa isang taon.

Magsimula sa mga karaniwang panganib na madalas talaga nilang harapin. Ang kahina-hinalang email ay kadalasang nasa pinakauna. Turuan ang staff na bumagal kapag ang mensahe ay lumilikha ng pagmamadali, humihingi ng pera, nagsasaad ng sensitibong impormasyon, o tinutulak silang mag-click ng link o magbukas ng file.

Turuan ang pangunahing kaalaman sa password at MFA. Dapat ang malalakas na password ay natatangi, mahaba, at hindi ginagamit sa pagitan ng work at personal accounts. Ang MFA, o multi-factor authentication, ay nagdaragdag ng pangalawang patunay ng identidad at makakatulong kung may nakakuha ng password. Siguraduhing alam ng mga empleyado kung aling mga app ang nangangailangan nito at ano ang gagawin kapag may login prompt silang hindi inaasahan.

Turuan ang ligtas na paghawak ng mga file at data. Dapat malaman ng staff kung saan dapat nakaimbak ang mga business file, kung ano ang hindi dapat itago sa personal devices, at kung kailan dapat iwasan ang pampublikong Wi-Fi para sa sensitibong trabaho. Dapat nilang maunawaan na ang impormasyon ng customer, mga record ng empleyado, at mga dokumentong pampinansyal ay nangangailangan ng dagdag na pag-iingat.

Turuan din ang basics ng devices. Kung ang laptop, telepono, o tablet ay ginagamit para sa trabaho, dapat malaman ng mga empleyado ang mga patakaran para sa updates, screen locks, lost devices, at mga aprubadong app. Kung ang provider ninyo ay nagsasalita tungkol sa EDR, ibig sabihin nito ay endpoint detection and response—software na tumutulong tuklasin ang kahina-hinalang aktibidad sa mga device. Kung binanggit nila ang RMM, ibig sabihin nito ay remote monitoring and management—mga tool na ginagamit ng provider para subaybayan at suportahan ang mga business device. Hindi kailangang patakbuhin ng staff ang mga tool na ito, pero dapat alam nilang posibleng iba ang paraan ng pag-manage sa mga business device kaysa sa mga nasa bahay.

Panatilihing praktikal. Ang maikling aralin kada buwan ay kadalasang mas madaling tapusin kaysa sa kalahating araw na klase. Gumamit ng isang topic lang kada pagkakataon, tulad ng kahina-hinalang email, pag-apruba ng invoice, pag-reset ng password, o ligtas na file sharing.

Paghaluin ang mga format. Kapaki-pakinabang ang quick meeting, maikling video, one-page checklist, at paminsan-minsang mga pagsasanay. Ang ibang negosyo rin ay gumagamit ng phishing simulations—mga pekeng test email na ipinapadala sa mga empleyado para matutong makilala at mag-ulat. Dapat itong gamitin nang maingat. Ang punto ay coaching, hindi kahihiyan.

Isulat ang mga pangunahing patakaran sa isang lugar. Puwede itong maging simpleng internal guide na sumasaklaw kung sino ang tatawagan, ano ang dapat i-report, paano i-verify ang mga pagbabago sa pagbabayad, at anong data ang nangangailangan ng dagdag na pag-iingat. Kung may provider na tutulong gumawa nito, tanungin silang panatilihing mababasa ito para sa mga non-technical na staff.

Maaari mo ring marinig ang mga terminong gaya ng SLA, na nangangahulugang service level agreement—isang dokumento na naglalatag ng mga inaasahang oras ng pagtugon at support. At ang vCIO, na nangangahulugang virtual Chief Information Officer—isang strategic technology advisor na maaaring ialok ng ilang provider. Hindi ito mga topic ng staff training mismo, pero maaari itong makaapekto sa kung paano planuhin ng negosyo ang suporta sa seguridad at mga pamamaraan ng empleyado.

Kung lumalaki ang team mo, humahawak ng sensitibong impormasyon, o nahihirapan sa paulit-ulit na pagkakamali, maaaring makatulong na kumuha ng independiyenteng MSP para gabayan ang training at mas malawak na pagpaplano sa seguridad. Maipapaliwanag ng MSP kung ano ang makatwiran para sa laki ng negosyo ninyo, industriya, at budget. Nag-iiba ang mga kinakailangan ayon sa industriya at estado.

Magtanong ng mga praktikal na bagay. Anong training para sa empleyado ang kasama? Gaano kadalas itong ina-update? Tutulungan ba nila kayo sa mga polisiya, onboarding ng bagong hire, at mga hakbang sa pag-uulat ng incident? Ipinaliliwanag ba nila ang mga security tools sa malinaw na Tagalog? Walang honest na provider ang dapat mangakong wala kayong downtime o network na hindi mahahack.

Maaari mo ring marinig ang tungkol sa backup planning. Ang 3-2-1 backup ay nangangahulugang pag-iingat ng 3 kopya ng data, sa 2 magkakaibang uri ng storage, na may 1 kopyang nakaimbak nang offsite. Bahagi ito ng business continuity planning, pero hindi nito pinapalitan ang staff training. Kailangan pa ring malaman ng mga tao kung paano protektahan ang data at mag-ulat agad ng mga problema.

Kung gusto mo ng tulong sa pag-aayos ng mga opsyon, alamin pa ang tungkol sa managed IT services, tingnan ang iba pang plain-language mga sagot, o makakuha ng tugma sa isang independiyenteng provider. Ang NodeBridge IT ay hindi isang IT company o security firm. Wala kaming access sa inyong mga system o accounts. Tulong lang namin ang paghahanap ng provider at pag-unawa sa mga pangunahing kaalaman.