27/02/2019

Kultura cyberbezpieczeństwa zamiast nudnych wykładów

Biznes MŚP

Gdy mowa o praktycznych poradach dla firm, zawsze są one ujmowane w stylu „Należy zwiększyć świadomość w kwestiach cyberbezpieczeństwa pracowników”. Mimo że jest to bez wątpienia bardzo istotne, zauważyliśmy, że nie wszyscy dobrze rozumieją, co oznacza określenie świadomość w kwestiach cyberbezpieczeństwa. Dziś wyjaśnimy Wam, co mamy wtedy na myśli.

Świadomość w kwestiach cyberbezpieczeństwa to w żadnym wypadku nie są nudne wykłady na temat tego, że cyberświat jest niebezpieczny. Podchodziliśmy do tego tematu na wiele sposobów i możemy to powiedzieć wprost: takie przedstawienie sprawy zwyczajnie nie działa.

To, czego firmy potrzebują naprawdę, to kultura cyberbezpieczeństwa.

Nasze podejście do tego zagadnienia

Jak pokazuje nasze doświadczenie, szkolenie będzie efektywne tylko wtedy, gdy spełni kilka zasad:

  • Nie będzie czystą teorią, a przekazywaną wiedzę będzie można zastosować w pracy danej osoby.
  • Nie będzie traktowane jako przerywnik dnia codziennego.
  • Przytoczy prawdziwe przykłady z życia.
  • Udzieli porad, które naprawdę można zastosować w codziennym życiu.

Porady możliwe do zrealizowania

Chociaż ostatni punkt może brzmieć jak oczywista oczywistość, zasada ta jest niezmiernie ważna. Dobra porada brzmi: „Niech każde twoje hasło będzie unikatowe, zawiera co najmniej 18 znaków i dowolne symbole, zmieniaj je co tydzień i nigdy nie zapisuj go na kartce”. W teorii wszystko brzmi świetnie — a może nawet idealnie. Ale czy łatwo jest ją wdrożyć w życie? Nie. Czy ktokolwiek będzie jej przestrzegał? Nie. Uczestnicy takiego szkolenia nadal będą używać haseł typu „Passworddd123” i zapisywać je na kartce. Mogą co najwyżej zacząć ukrywać tę kartkę pod klawiaturą.

Z tego powodu nasza wersja bezpieczeństwa haseł radzi przygotowanie kilku skomplikowanych „baz”, które mają sens tylko dla nich i nie są częścią codziennej mowy (np. meow!72!meow); dodanie do bazy słowa kluczowego podczas tworzenia każdego nowego hasła (np. oxygen-meow!72!meow); zapisanie na kartce frazy, która pozwoli przypomnieć sobie słowo kluczowe i bazę.

Z punktu widzenia klasycznego cyberbezpieczeństwa porada ta jest daleka od idealnej. Eksperci ds. bezpieczeństwa z pewnością się oburzą, komentując: „Jak można radzić ludziom, aby zapisywali swoje hasło na kartce?”. Ale w rzeczywistości podejście to jest bardzo praktyczne — a najlepsza wskazówka to taka, którą ludzie będą stosować.

Zgodność

Adekwatność szkolenia w odniesieniu do codziennej pracy to kolejna wrażliwa kwestia. Gdy jakaś osoba decyzyjna powie, że należy „zwiększyć świadomość w kwestii cyberbezpieczeństwa” (pamiętajmy, że w większości przypadków pomysł ten pojawia się po jakimś incydencie), któryś z pracowników zostanie obarczony tym zadaniem. W ten sposób powstanie przekonanie, że wszyscy porzucą dotychczasowe życie i zaczną żyć w zgodzie z cyberbezpieczeństwem.

W praktyce najczęściej jest to wykład — obszerny, długi, zawierający ogólne podsumowanie tematu lub zrealizowany w postaci „tygodnia cyberbezpieczeństwa”. Dla niektórych pracowników będzie to świetny przerywnik od pracy; inni będą się denerwować ze względu na niezałatwione sprawy; a cała reszta niewiele z tego wyniesie, ponieważ nie jesteśmy w stanie przyswoić tak wielu informacji w tak krótkim okresie.

Ostatecznie pracownicy przejdą szkolenie, a osoba za nie odpowiedzialna będzie mogła uznać sprawę za zakończoną. Ale czy efekty będą miały wpływ na rzeczywistość? Niektórzy oczywiście poczują się oświeceni i przez tydzień lub dwa będą pamiętać, aby ostrożnie otwierać każdy odebrany e-mail, zastanawiając się, czy nie jest to phishing. Ale co z tego będą pamiętać po miesiącu?

Z tego właśnie powodu staramy się (szczególnie przy użyciu naszej platformy Automated Security Awareness Platform) nie przytłaczać ludzi ogromem informacji. Dzięki ukończeniu kilku niewielkich zadań — lekcji, testów i symulacji — w tygodniu pracownicy przyswoją rozsądną część informacji, a z drugiej strony będą mogli wdrażać je w codziennej pracy, budując podwaliny kultury cyberbezpieczeństwa. Dzięki naszej platformie wszystko odbywa się przy niewielkim nakładzie administracyjnym. Więcej informacji na ten temat można znaleźć na naszej stronie.

Trafność i wizualizacja

W tej kwestii mamy jedno zdanie — pracujemy z ludźmi, a nie z bezdusznymi kontami. Jeśli proces ten nie będzie ciekawy, szybko zostanie zapomniany. Ponadto musi być odpowiednio przygotowany. Wykorzystujemy system różnych poziomów, a każdy z nich jest przeznaczony dla grupy pracowników posiadających podobny zakres odpowiedzialności. W końcu po co szkolić w zakresie cyberzagrożeń finansowych kogoś, kto nie ma dostępu do systemów bankowych? Zagrożenia te muszą bardziej zrozumieć księgowe. Co więcej, najpierw wyjaśniamy, dlaczego pracownicy powinni coś wiedzieć, a dopiero wtedy dajemy im praktyczne wskazówki.

Interaktywne symulacje także wykraczają poza zwykłe informowanie o zagrożeniach i umożliwiają zdobycie praktycznego doświadczenia. Ponadto mogą być one najlepszym sposobem pracy z kadrą wyższego szczebla, która rzadko zgadza się na uczestnictwo w zwykłych sesjach treningowych.

Ludzie postrzegają naszą platformę Kaspersky Interactive Protection Simulation nie jako formę edukacji, ale jako coś, co służy budowaniu zespołu. Współpracując z pracownikami w celu ochrony symulowanej firmy przed atakiem, dyrektorzy zaczynają rozumieć, dlaczego ich firma potrzebuje środków zabezpieczających, gdzie należy sfinansować ochronę i dlaczego przychód firmy jest związany z poziomem cyberbezpieczeństwa. To naprawdę unikatowe doświadczenie.

Nie tylko my zastanawiamy się nad zaletami budowania kultury cyberbezpieczeństwa, nie wspominając o nowoczesnych i skutecznych sposobach prowadzenia szkoleń w zakresie bezpieczeństwa. Firmy analityczne mają podobne pomysły — widać to na przykład w raporcie firmy Forrester na temat świadomości w kwestii bezpieczeństwa.