22/12/2017

Wzmocnij najsłabsze ogniwo

Biznes SMB

W teorii każdy rozumie, jak istotne jest zabezpieczenie informacji, które mają dla firmy znaczenie krytyczne. Mimo to regularnie dochodzi do incydentów, których można uniknąć, stosując podstawowe zasady bezpieczeństwa. Dwa z pięciu wycieków opisanych na tej stronie miały zupełnie absurdalne podłoże.

Najwyższe miejsce pod względem ilości skradzionych danych zajmuje rząd, któremu skradziono laptop zawierający 5 milionów rekordów zawierających imiona, nazwiska i numery ubezpieczenia społecznego. Na czwartym miejscu znajduje się laboratorium medyczne, które nie zabezpieczyło odpowiednio sześciu dysków twardych zawierających prawie milion rekordów klientów obejmujących ich imiona i nazwiska, adresy, numery ubezpieczenia społecznego oraz informacje związane ze stanem zdrowia.

W obu przypadkach cyberprzestępcom drzwi otworzyła nieostrożność człowieka — osoba pracująca z danymi nie zadbała o ich należyte zabezpieczenie. Morał z tych historii jest oczywisty: bezpieczeństwo firmy to coś więcej niż tylko oprogramowanie, to także szkolenia pracowników.

To prawda: musi je przechodzić każdy pracownik. Jak wiadomo, każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo. Jednak „pracownicy” to pojęcie dosyć abstrakcyjne. Nie można ich traktować jak jednolitą masę. Są to różni ludzie, z różnym poziomem doświadczenia technologicznego, wykonujący różne zadania i odmiennie traktujący swoją pracę i odpowiedzialność względem firmy. Trzeba do nich dotrzeć w indywidualny sposób.

To jest właśnie kluczowe stwierdzenie, którym powinni kierować się twórcy różnych programów szkoleniowych. Zakładają oni, że przy pomocy uniwersalnych pojęć można wyjaśnić każdej osobie, jak działają systemy informatyczne i jak zapobiegać wyciekom. Informacje te są podawane wszystkim naraz, na jednym, stosunkowo krótkim spotkaniu. Później szkoleniowiec poświęca kolejną godzinę na motywowanie ludzi do współpracy. A następnie nic się w firmach nie zmienia.

Przeanalizowaliśmy kilka takich programów i doszliśmy do wniosku, że nie są one skuteczne, ponieważ trenerzy mówią niewłaściwym językiem, do niewłaściwej grupy docelowej i o niewłaściwych rzeczach.

Ludzie, którzy maj do czynienia z kontaktem z mediami, przestają słuchać po około trzeciej minucie — gdy usłyszą, jakie niebezpieczeństwo niesie ze sobą otwarcie wiadomości pochodzącej z nieznanego źródła. Większość pozostałych pracowników przestaje słuchać po 15 minutach, gdy usłyszy, że HTTPS jest bezpieczniejsze niż HTTP dzięki protokołom SSL i TLS…

Podczas wykładu kierownicy korzystają ze swoich tabletów, aby odpowiedzieć na pilne wiadomości e-mail, a dyrektorzy najwyższego szczebla zastanawiają się, dlaczego muszą słuchać tych wszystkich drobiazgów. Gdy sesja treningowa dobiegnie końca, wszyscy wracają do pracy, przeklinając zmarnowane godziny i nadrabiając w pośpiechu stracony czas.

Oczywiście przedstawianie informacji w ten sposób nie ma sensu. Ludzie słyszą mnóstwo informacji, z których wiele nie jest adekwatna do ich pracy. Czy ta wiedza zostanie kiedyś zastosowana w praktyce? Jeśli tak, czy ktoś zapamięta, co było na szkoleniu?

Mając na uwadze te problemy, zastosowaliśmy inne podejście i utworzyliśmy własny program zwiększający świadomość wśród pracowników.

Kierowaliśmy się dwiema prostymi zasadami: po pierwsze, unikamy abstrakcyjnych informacji i skupiamy się na określonych umiejętnościach praktycznych. Po drugie, instruujemy różne grupy pracowników oddzielnie.

Na przykład pracownicy recepcji nie muszą znać żadnych szczegółów technicznych — wystarczą im interaktywne scenariusze online, odzwierciedlające sytuacje, z którymi spotykają się każdego dnia. Kierownik wyższego szczebla nie ma czasu ani cierpliwości słuchać wykładu jak student, ale zaangażuje się w symulację związaną z zabezpieczeniem podobnej firmy przed teoretycznymi zagrożeniami. W każdym przypadku pracownik chętniej dowie się, co robi dobrze, a co źle.

Mówiąc w skrócie, do każdej grupy stosujemy odpowiednie podejście, dzięki czemu każda osoba widzi, jaki jest jej udział w bezpieczeństwu organizacji. Informacje są przez nas tłumaczone z technicznego języka ekspertów na język wernakularny biznesu, a dodatkowo zachęcamy pracowników do ćwiczeń, aby dowiedzieli się, jak postępować w różnych sytuacjach i dlaczego taka akurat droga jest dobra. Podejście to automatycznie zwiększa prawdopodobieństwo, że uzyskana wiedza zostanie skutecznie wykorzystana w prawdziwym życiu.

Więcej informacji o naszym autorskim programie znajdziesz tutaj.