Nowości w branży bezpieczeństwa

Tworzenie kultury bezpieczeństwa cybernetycznego w miejscu pracy

Business IT Research, 17 lutego 2017

Narzędzia i procedury to klucz do efektywnego działania cyberzabezpieczeń. Jednak bez odpowiedniej wiedzy to sami ludzie stanowią największe zagrożenie.

Zakres zagrożeń cyfrowych zwiększa się w postępie geometrycznym. W pierwszym kwartale 2016 r. liczba phishingowych wiadomości e-mail wzrosła o prawie 800%, do 6,3 mln (w porównaniu z poprzednim kwartałem). Oprogramowanie typu ransomware odnotowało natomiast 300-procentowy wzrost i generuje obecnie straty sięgające niemal miliarda dolarów . Ważne jest więc, aby, pamiętać o tym, że skuteczne zabezpieczenia opierają się na trzech filarach: produktach i usługach, procedurach oraz ludziach. Nie wystarczy wydawać coraz więcej pieniędzy i używać kolejnych zasobów w celu poprawienia poziomu bezpieczeństwa cybernetycznego. Kluczem do sukcesu są ludzie i każdy z nas ma tu swoją rolę do odegrania.

Niezbędne jest całościowe podejście do ochrony ludzi, przedmiotów i procedur oraz wszystkich tworzonych danych przed celowym lub przypadkowym uszkodzeniem. Cel ten można osiągnąć przez łączenie i udoskonalanie powyższych elementów, tworząc kulturę bezpieczeństwa cybernetycznego w miejscu pracy. Może ona decydować o „być albo nie być” firmy, szczególnie w erze cyfrowej: bezpieczeństwo cybernetyczne to podstawa biznesowej działalności cyfrowej i innowacji.

Miesiąc poświęcony świadomości bezpieczeństwa cybernetycznego (NCSAM) to wspólne przedsięwzięcie rządu USA i branży IT, organizowane co roku w październiku. Jak zauważa FBI, jest to doskonała okazja na zastanowienie się nad zagrożeniami cyfrowymi i podjęcie odpowiednich działań w celu zabezpieczenia własnych urządzeń, sieci i danych. Dyrektor FBI, James Comey, w swoim wystąpieniu wygłoszonym w tym miesiącu przed Kongresem powiedział, że

zagrożenia cybernetyczne są tak powszechne, że FBI i inne agencje wywiadowcze, a także agencje wojskowe, departamentu bezpieczeństwa wewnętrznego i wymiaru sprawiedliwości traktują cyberbezpieczeństwo i ataki cybernetyczne jako swój najważniejszy priorytet.

Mimo że zagrożenia zewnętrzne są bardzo niebezpieczne, równie duży problem stanowią wyzwania wewnętrzne. Nie tylko „zwykli użytkownicy” — czyli personel, partnerzy i klienci — są „najsłabszym ogniwem w łańcuchu zabezpieczeń cyfrowych”, ale do 95% wszystkich naruszeń bezpieczeństwa dochodzi w wyniku błędu człowieka.

Dlatego właśnie stworzenie kultury bezpieczeństwa cybernetycznego w miejscu pracy jest szczególnie ważne. Mimo że nie jest to zadanie ani proste, ani łatwe, cel ten można szybko osiągnąć, stosując odpowiednie procedury i rozwiązania. Efektywne bezpieczeństwo cybernetyczne wymaga pełnego zaangażowania wszystkich osób. Dzięki temu można:

  • zidentyfikować i chronić cyfrowe „klejnoty koronne” organizacji,
  • wykrywać incydenty i mieć odpowiedni plan reagowania,
  • szybko przywracać normalne działanie firmy.

W miejscu pracy rozpoczyna się to od edukacji i szkolenia pracowników oraz uświadamiania im wewnętrznych i zewnętrznych czynników ryzyka. Należy także przedstawić im procedury i rozwiązania, które umożliwią ograniczenie i wyeliminowanie zagrożeń.

Podsumowanie:

Ze względu na to, że cyberbezpieczeństwo to nie jednorazowe, pasujące do wszystkich scenariuszy rozwiązanie typu „wszystko w jednym”, w miejscu pracy należy stosować elastycznie i dynamiczne podejście. Powinno ono ewoluować wraz ze zmianami krajobrazu zagrożeń, narzędzi i technik. Kultura cyberbezpieczeństwa w miejscu pracy powinna obejmować takie elementy jak:

  • kompleksowa architektura cyberbezpieczeństwa, która jest częścią procedur biznesowych, a nie tylko dodatkiem do nich;
  • ciągłe edukowanie i szkolenie wszystkich pracowników oraz sprawdzanie ich wiedzy;
  • uświadamianie pracownikom, że każdy z nich pełni ważną rolę w zapewnianiu cyberbezpieczeństwa i ponosi za nie indywidualną odpowiedzialność.

5 porad dotyczących tworzenia kultury cyberbezpieczeństwa w miejscu pracy

  1. Znajdowanie motywacji

Wiedza na temat zabezpieczeń jest niezbędna. W dzisiejszych czasach ludzie często napotykają wyzwania związane z hasłami, phishingiem i kradzieżą danych oraz z wieloma innymi zagrożeniami. Mając odpowiednią wiedzę o zagrożeniach i czynnikach ryzyka, pracownicy mogą skuteczniej chronić swoje dane zarówno w pracy, jak i w domu.

  1. Przyjazne współzawodnictwo

Dzięki promowaniu zdrowej konkurencji w organizacji pracownicy mogą angażować się w większym stopniu i poważnie traktować zabezpieczenia. Pracownicy nie tylko będą motywowani do wprowadzania środków bezpieczeństwa — będą także zachęcać do tego inne osoby oraz konkurować ze sobą w zakresie zapewniania sobie jak najlepszej ochrony w internecie.

  1. Wspólna świadomość bezpieczeństwa

Nie tylko zespół ds. zabezpieczeń ponosi odpowiedzialność za zapewnienie, że wprowadzane środki bezpieczeństwa są traktowane poważnie. Należy zaangażować również inne działy, tak aby wszyscy pracownicy stosowali te same środki. Dzięki temu firma zostanie skutecznie zabezpieczona.

  1. Zachęcanie pracowników do inicjatywy

Wspierając pracowników organizacji i doceniając ich inicjatywę, można zwiększyć poziom motywacji, co z dużym prawdopodobieństwem przełoży się na większą skuteczność zabezpieczeń. Wielu pracowników przedkłada zachętę do własnej inicjatywy nad korzyści materialne.

  1. Zabezpieczenia powinny być proste i dopasowane do firmy

Cele firmy muszą być jasno zdefiniowane, a procedury muszą umożliwiać osiąganie celów biznesowych. Każdy pracownik musi mieć świadomość swoich priorytetów — również w zakresie bezpieczeństwa. Aby procedury mogły chronić całą organizację, zabezpieczenia muszą być ich nieodłączną częścią.