専門家がインターンに隠されたサイバー脅威を説明

ジャカルタ - 組織は、インターンが組織のサイバーセキュリティにどのように脅威をもたらすか、そしてそれらに対処するために何ができるかに関連するリスクについて、り考えない傾向があります。

カスペルスキー は、多くの企業がインターンがシステムやビジネスに長くいないと考えており、資格情報にアクセスできる可能性は低いと明らかにしました。

それは理解できますが、十分な知識のない経験の浅いインターンが、フィッシングリンク をクリックするだけで組織に害を及ぼす可能性があるという事実を無視したり、職場のアカウントに脆弱なパスワードを実装したり、ソーシャルエンジニアリングの犠牲者になったりするという事実を無視すべきではありません。 

これらのことが起こるのを防ぐために、ここでカスペルスキーは、デジタルサイバーセキュリティプロバイダー企業として、特別な注意を必要とするいくつかの推奨事項について説明します。

オリエンテーションセッション

インターンに組織のインフラストラクチャと機器へのアクセスを許可する前に、重要なことを彼らに理解させる価値があります。何よりもまず、セキュリティ ポリシー、2 要素認証、 およびパスワードに関して組織が受け入れている標準について説明します。

インターンを業務に巻き込む場合は、パスワード設定を適用する必要があります。パスワードセキュリティは議論の一般的なトピックのようですが、これらの新しい作業者は、一部のサービスで同じパスワードを使用しないことの重要性に精通していない可能性があり、「強力なパスワード」の定義が何であるかを完全には知らないかもしれません。

最小特権の原則

インターンに組織のリソースへのアクセスを提供するときは、最低限の特権の原則に従う必要があります。つまり、全員が自分の仕事に最低限のアクセス権しか持てないということです。これは実際には一般的に従うべき良い原則ですが、インターンと仕事をするときはさらに重要になります。

機密情報の開示を禁止する契約

多くの組織は、インターンを小規模で一時的な役割しか持たないと考えているため、インターンに機密保持契約に署名するよう求めていません。 

しかし、そうすることは良いことです。インターンが会社の秘密を知らなくても、NDAに署名することは、これらの新進気鋭の従業員に、プライベートな会話でビジネスプロセスについて話すべきではないことを伝えるのに最適な方法です。

個人のソーシャルメディアアカウントの情報セキュリティ

一方では、インターンが自分の仕事がどれほどエキサイティングであるかについてソーシャルメディアで情熱的に話すと、組織は利益を得ることができます。しかし、その一方で、インターンは、内部文書を背後にして自撮りをするなど、投稿で重要な情報を誤って明らかにすることがあります。

「だからこそ、ソーシャルメディアの使用に関する組織の方針について、インターンに明確に伝えることをお勧めします」とKasperskyはリリースで述べています。 

さらに、企業は長い指示を電子メールで送信しないようにする必要があります。より効果的なアプローチは、口頭ブリーフィングを行うことです。

インターンシップ終了後の作業リソースへのアクセス

インターンシップを含め、すべての良いことは終わらなければなりません。インターンシップを続けるためにあなたと一緒に選ぶ参加者もいれば、間違いなく去る参加者もいます。会社を辞めることを決めた人には特に注意してください。 

インターンが去った後は、組織の内部リソースへのすべてのアクセスを必ず取り消すようにしてください。アクセス権を持つ追加のアカウントがあると、これは潜在的な脆弱性になります。

サイバーセキュリティの基礎に関するインターンをトレーニングする

経験則として、カスペルスキーでは、すべての従業員にサイバーセキュリティの基礎に関するトレーニングを推奨しています。しかし、インターンがそのようなトレーニングセッションに含まれることはめったにありません。これは間違いです。 

見習いトレーニングは、あなた自身のサイバーセキュリティに対するリスクを軽減するのに役立ち、同時に彼らがあなたの組織を離れるときに取るべき重要な教訓になるでしょう。

このトレーニングに多額のリソースを投資する必要はありません。インターンと共有できるサイバーセキュリティの基本をカバーするオンラインのオープンソース資料がいくつかあります。