Świadomość zagrożeń buduje bezpieczeństwo organizacji

W prezentacji „Znaczenie świadomości użytkowników i interesariuszy dla bezpieczeństwa organizacji” przedstawionej na konferencji SEMAFOR 2018, Andrzej Sobczak, Oficer ds. Bezpieczeństwa i Ciągłości Działania w Royal Bank of Scotland i członek warszawskiego oddziału ISACA, zwrócił uwagę na ogromną wagę kształtowania świadomości pracowników w zakresie bezpieczeństwa informatycznego. Pracownicy są wciąż najmniej przewidywalnym elementem systemu ochrony. Ich działania powodują aż 60% incydentów dotykających organizacje. Niestety, nawet najbardziej zaawansowana technologia nie uszczelni systemu bezpieczeństwa w firmie, w której ludzie nie będą przestrzegali zasad i procedur.

Przeciętny użytkownik nie ma wystarczającej wiedzy technicznej, aby rozumieć zagrożenia, aktywnie się przed nimi bronić i nie popełniać błędów. Dlatego jedynym sposobem na zbudowanie efektywnej polityki bezpieczeństwa jest ciągła edukacja i tworzenie przejrzystych procedur. Działania takie prócz ogólnego podniesienia poziomu ochrony, ułatwiają też zapewnienie zgodności z wieloma wymaganiami takimi jak np: Sarbanes-Oxley (SOX);PCI: DSS; ISO/IEC 27001 & 27002; Health Insurance Portability & Accountability Act (HIPAA);/CobiT; Rekomendacja D, a także RODO/GDPR.

Obszary i metody edukacji pracowników

Szkolenia w zakresie bezpieczeństwa są istotnym, nietechnicznym elementem bezpieczeństwa informacji. Aby były skuteczne i kompletne muszą obejmować wiele zagadnień i dotyczyć wielu obszarów, takich jak:

- klasyfikacja danych/informacji;

- reakcja na phishing, podejrzane emaile, telefony;

- socjotechnika;

- wysyłanie informacji poza organizację;

- prywatność i dane osobowe;

- korzystanie z mediów społecznościowych;

- użytkowanie Internetu;

- blokowanie stacji roboczej;

- szyfrowanie danych i dokumentów;

- tworzenie haseł;

- użycie publicznych punktów dostępowych;

- praca zdalna i mobilna;

- współpracę ze stronami trzecimi.

Dla budowy świadomości bezpieczeństwa ważny jest nie tylko zakres zdobywanej wiedzy, ale także sposób jej pozyskiwania - im więcej metod szkoleniowych zostanie zastosowanych, tym rezultaty będą lepsze. Pomijając standardowe praktyki w tym zakresie jak: e-learning, szkolenia z polityk i procedur, szkolenia wstępne, dobrym pomysłem jest przekazywanie informacji związanych na temat zagrożeń i działań prewencyjnych w ogólnofirmowych newsletterach - taki newsletter pracownik czyta częściej niż e-mail od osoby zajmującej się bezpieczeństwem IT. Dużą wartością są też szkolenia prowadzone przez przełożonych - nikt z pracowników ich nie omija. W działaniach edukacyjnych przydatnym narzędziem bywają też tradycyjne broszury i plakaty. Plakat zawieszony przy niszczarce czy drukarce może zdziałać bardzo dużo w zakresie bezpieczeństwa informacji, przypominając, w odpowiednim miejscu i czasie, o podstawowych zaleceniach dotyczących drukowania oraz niszczenia dokumentów. Najlepiej jest oczywiście, co rekomenduje ISACA, stosować mix różnych technik i różnorodnych form komunikacji z pracownikiem.

Jeszcze jedna, istotna sprawa - we wszystkich projektach realizowanych w organizacji powinno uczestniczyć security, by od początku wdrażać odpowiednie procedury bezpieczeństwa.

Prosty przekaz jest najlepszy

Polityki bezpieczeństwa często są napisane w tak skomplikowany sposób, że pracownicy nie mogą ich skutecznie przyswoić. Zamiast informować o ryzyku, zagrożeniach i dobrych praktykach poprzez jasne i wyczerpujące instrukcje, firmy dają pracownikom wielostronicowe dokumenty, które wszyscy podpisują, ale których nikt nie czyta.

Należy więc pamiętać, by wszelkie polityki i procedury były opisane w sposób zrozumiały, a także dostosowywać treści i przekaz do grup pracowników. To ułatwi ich przyswojenie i przestrzeganie. Dobrze sklasyfikowane informacje i procedury ujęte w proste reguły opisane w Intranecie pozwolą pracownikom na rozwiązywanie wielu problemów z zakresu szeroko pojętego bezpieczeństwa.

Niepokorni millenialsi

Wydawałoby się, że młodzi pracownicy, wychowani w epoce komputerów i od kołyski zaznajomieni z technologią, są świadomi cyfrowych zagrożeń. Jest jednak wprost przeciwnie. Korzystanie z technologii nie oznacza bowiem, że jest ona bezpiecznie używana. Młode pokolenie urodzone między 1977 a 1994, czyli tzw. millenialsi mają wiele potencjalnie niebezpiecznych przyzwyczajeń. Millenialsi preferują używanie własnych urządzeń – BYOD, stale muszą być obecnii w social-media, stawiają na szybkość i komfort w użytkowaniu technologii, a ich koncentracja trwa krócej w porównaniu do starszych pracowników. Dlatego trzeba zwrócić szczególną uwagę na szkolenie młodego pokolenia w zakresie polityki bezpieczeństwa w organizacji.