Użytkownicy wciąż pozostają najsłabszym ogniwem w systemach bezpieczeństwa IT, a szczególnie trudnym przypadkiem jest pokolenie millenialsów. Jedynie wielopoziomowa edukacja jest w stanie ograniczyć liczbę incydentów powodowanych przez ludzi.
W prezentacji „Znaczenie świadomości użytkowników i interesariuszy dla bezpieczeństwa organizacji” przedstawionej na konferencji SEMAFOR 2018, Andrzej Sobczak, Oficer ds. Bezpieczeństwa i Ciągłości Działania w Royal Bank of Scotland i członek warszawskiego oddziału ISACA, zwrócił uwagę na ogromną wagę kształtowania świadomości pracowników w zakresie bezpieczeństwa informatycznego. Pracownicy są wciąż najmniej przewidywalnym elementem systemu ochrony. Ich działania powodują aż 60% incydentów dotykających organizacje. Niestety, nawet najbardziej zaawansowana technologia nie uszczelni systemu bezpieczeństwa w firmie, w której ludzie nie będą przestrzegali zasad i procedur.
Przeciętny użytkownik nie ma wystarczającej wiedzy technicznej, aby rozumieć zagrożenia, aktywnie się przed nimi bronić i nie popełniać błędów. Dlatego jedynym sposobem na zbudowanie efektywnej polityki bezpieczeństwa jest ciągła edukacja i tworzenie przejrzystych procedur. Działania takie prócz ogólnego podniesienia poziomu ochrony, ułatwiają też zapewnienie zgodności z wieloma wymaganiami takimi jak np: Sarbanes-Oxley (SOX);PCI: DSS; ISO/IEC 27001 & 27002; Health Insurance Portability & Accountability Act (HIPAA);/CobiT; Rekomendacja D, a także RODO/GDPR.
Obszary i metody edukacji pracowników
Szkolenia w zakresie bezpieczeństwa są istotnym, nietechnicznym elementem bezpieczeństwa informacji. Aby były skuteczne i kompletne muszą obejmować wiele zagadnień i dotyczyć wielu obszarów, takich jak:
- klasyfikacja danych/informacji;
- reakcja na phishing, podejrzane emaile, telefony;
- socjotechnika;
- wysyłanie informacji poza organizację;
- prywatność i dane osobowe;
- korzystanie z mediów społecznościowych;
- użytkowanie Internetu;
- blokowanie stacji roboczej;
- szyfrowanie danych i dokumentów;
- tworzenie haseł;
- użycie publicznych punktów dostępowych;
- praca zdalna i mobilna;
- współpracę ze stronami trzecimi.
Dla budowy świadomości bezpieczeństwa ważny jest nie tylko zakres zdobywanej wiedzy, ale także sposób jej pozyskiwania - im więcej metod szkoleniowych zostanie zastosowanych, tym rezultaty będą lepsze. Pomijając standardowe praktyki w tym zakresie jak: e-learning, szkolenia z polityk i procedur, szkolenia wstępne, dobrym pomysłem jest przekazywanie informacji związanych na temat zagrożeń i działań prewencyjnych w ogólnofirmowych newsletterach - taki newsletter pracownik czyta częściej niż e-mail od osoby zajmującej się bezpieczeństwem IT.
Dużą wartością są też szkolenia prowadzone przez przełożonych - nikt z pracowników ich nie omija. W działaniach edukacyjnych przydatnym narzędziem bywają też tradycyjne broszury i plakaty. Plakat zawieszony przy niszczarce czy drukarce może zdziałać bardzo dużo w zakresie bezpieczeństwa informacji, przypominając, w odpowiednim miejscu i czasie, o podstawowych zaleceniach dotyczących drukowania oraz niszczenia dokumentów. Najlepiej jest oczywiście, co rekomenduje ISACA, stosować mix różnych technik i różnorodnych form komunikacji z pracownikiem.
Jeszcze jedna, istotna sprawa - we wszystkich projektach realizowanych w organizacji powinno uczestniczyć security, by od początku wdrażać odpowiednie procedury bezpieczeństwa.
Prosty przekaz jest najlepszy
Polityki bezpieczeństwa często są napisane w tak skomplikowany sposób, że pracownicy nie mogą ich skutecznie przyswoić. Zamiast informować o ryzyku, zagrożeniach i dobrych praktykach poprzez jasne i wyczerpujące instrukcje, firmy dają pracownikom wielostronicowe dokumenty, które wszyscy podpisują, ale których nikt nie czyta.
Należy więc pamiętać, by wszelkie polityki i procedury były opisane w sposób zrozumiały, a także dostosowywać treści i przekaz do grup pracowników. To ułatwi ich przyswojenie i przestrzeganie. Dobrze sklasyfikowane informacje i procedury ujęte w proste reguły opisane w Intranecie pozwolą pracownikom na rozwiązywanie wielu problemów z zakresu szeroko pojętego bezpieczeństwa.
Niepokorni millenialsi
Wydawałoby się, że młodzi pracownicy, wychowani w epoce komputerów i od kołyski zaznajomieni z technologią, są świadomi cyfrowych zagrożeń. Jest jednak wprost przeciwnie. Korzystanie z technologii nie oznacza bowiem, że jest ona bezpiecznie używana. Młode pokolenie urodzone między 1977 a 1994, czyli tzw. millenialsi mają wiele potencjalnie niebezpiecznych przyzwyczajeń.
Millenialsi preferują używanie własnych urządzeń – BYOD, stale muszą być obecnii w social-media, stawiają na szybkość i komfort w użytkowaniu technologii, a ich koncentracja trwa krócej w porównaniu do starszych pracowników. Dlatego trzeba zwrócić szczególną uwagę na szkolenie młodego pokolenia w zakresie polityki bezpieczeństwa w organizacji.
źródło: semafor 2018Jeśli chcesz otrzymywać wyczerpujące informacje z serwisu MRT Net, zaprenumeruj nasz Newsletter 
Ukryj panel
![[RSS]](images/rss_bigs.png "Kliknij i subskrybuj RSS-a")
