Świadomość zagrożeń buduje bezpieczeństwo organizacji

Użytkownicy wciąż pozostają najsłabszym ogniwem w systemach bezpieczeństwa IT, a szczególnie trudnym przypadkiem jest pokolenie millenialsów. Jedynie wielopoziomowa edukacja jest w stanie ograniczyć liczbę incydentów powodowanych przez ludzi

W prezentacji „Znaczenie świadomości użytkowników i interesariuszy dla bezpieczeństwa organizacji” przedstawionej na konferencji SEMAFOR 2018, Andrzej Sobczak, Oficer ds. Bezpieczeństwa i Ciągłości Działania w Royal Bank of Scotland i członek warszawskiego oddziału ISACA, zwrócił uwagę na ogromną wagę kształtowania świadomości pracowników w zakresie bezpieczeństwa informatycznego. Pracownicy są wciąż najmniej przewidywalnym elementem systemu ochrony. Ich działania powodują aż 60% incydentów dotykających organizacje. Niestety, nawet najbardziej zaawansowana technologia nie uszczelni systemu bezpieczeństwa w firmie, w której ludzie nie będą przestrzegali zasad i procedur.

Przeciętny użytkownik nie ma wystarczającej wiedzy technicznej, aby rozumieć zagrożenia, aktywnie się przed nimi bronić i nie popełniać błędów. Dlatego jedynym sposobem na zbudowanie efektywnej polityki bezpieczeństwa jest ciągła edukacja i tworzenie przejrzystych procedur. Działania takie prócz ogólnego podniesienia poziomu ochrony, ułatwiają też zapewnienie zgodności z wieloma wymaganiami takimi jak np: Sarbanes-Oxley (SOX);PCI: DSS; ISO/IEC 27001 & 27002; Health Insurance Portability & Accountability Act (HIPAA);/CobiT; Rekomendacja D, a także RODO/GDPR.

Zobacz również:

Obszary i metody edukacji pracowników

Szkolenia w zakresie bezpieczeństwa są istotnym, nietechnicznym elementem bezpieczeństwa informacji. Aby były skuteczne i kompletne muszą obejmować wiele zagadnień i dotyczyć wielu obszarów, takich jak:

- klasyfikacja danych/informacji;

- reakcja na phishing, podejrzane emaile, telefony;

- socjotechnika;

- wysyłanie informacji poza organizację;

- prywatność i dane osobowe;

- korzystanie z mediów społecznościowych;

- użytkowanie Internetu;

- blokowanie stacji roboczej;

- szyfrowanie danych i dokumentów;

- tworzenie haseł;

- użycie publicznych punktów dostępowych;

- praca zdalna i mobilna;

- współpracę ze stronami trzecimi.

Dla budowy świadomości bezpieczeństwa ważny jest nie tylko zakres zdobywanej wiedzy, ale także sposób jej pozyskiwania - im więcej metod szkoleniowych zostanie zastosowanych, tym rezultaty będą lepsze. Pomijając standardowe praktyki w tym zakresie jak: e-learning, szkolenia z polityk i procedur, szkolenia wstępne, dobrym pomysłem jest przekazywanie informacji związanych na temat zagrożeń i działań prewencyjnych w ogólnofirmowych newsletterach - taki newsletter pracownik czyta częściej niż e-mail od osoby zajmującej się bezpieczeństwem IT. Dużą wartością są też szkolenia prowadzone przez przełożonych - nikt z pracowników ich nie omija. W działaniach edukacyjnych przydatnym narzędziem bywają też tradycyjne broszury i plakaty. Plakat zawieszony przy niszczarce czy drukarce może zdziałać bardzo dużo w zakresie bezpieczeństwa informacji, przypominając, w odpowiednim miejscu i czasie, o podstawowych zaleceniach dotyczących drukowania oraz niszczenia dokumentów. Najlepiej jest oczywiście, co rekomenduje ISACA, stosować mix różnych technik i różnorodnych form komunikacji z pracownikiem.

Jeszcze jedna, istotna sprawa - we wszystkich projektach realizowanych w organizacji powinno uczestniczyć security, by od początku wdrażać odpowiednie procedury bezpieczeństwa.

Prosty przekaz jest najlepszy

Polityki bezpieczeństwa często są napisane w tak skomplikowany sposób, że pracownicy nie mogą ich skutecznie przyswoić. Zamiast informować o ryzyku, zagrożeniach i dobrych praktykach poprzez jasne i wyczerpujące instrukcje, firmy dają pracownikom wielostronicowe dokumenty, które wszyscy podpisują, ale których nikt nie czyta.

Należy więc pamiętać, by wszelkie polityki i procedury były opisane w sposób zrozumiały, a także dostosowywać treści i przekaz do grup pracowników. To ułatwi ich przyswojenie i przestrzeganie. Dobrze sklasyfikowane informacje i procedury ujęte w proste reguły opisane w Intranecie pozwolą pracownikom na rozwiązywanie wielu problemów z zakresu szeroko pojętego bezpieczeństwa.

Niepokorni millenialsi

Wydawałoby się, że młodzi pracownicy, wychowani w epoce komputerów i od kołyski zaznajomieni z technologią, są świadomi cyfrowych zagrożeń. Jest jednak wprost przeciwnie. Korzystanie z technologii nie oznacza bowiem, że jest ona bezpiecznie używana. Młode pokolenie urodzone między 1977 a 1994, czyli tzw. millenialsi mają wiele potencjalnie niebezpiecznych przyzwyczajeń. Millenialsi preferują używanie własnych urządzeń – BYOD, stale muszą być obecnii w social-media, stawiają na szybkość i komfort w użytkowaniu technologii, a ich koncentracja trwa krócej w porównaniu do starszych pracowników. Dlatego trzeba zwrócić szczególną uwagę na szkolenie młodego pokolenia w zakresie polityki bezpieczeństwa w organizacji.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona