Czynnik ludzki: czy pracowników można nauczyć unikania błędów?

Od dawna mówimy, że sama technologia nie stanowi wystarczającej ochrony dla firmy przed cyberzagrożeniami. Jedna osoba może zniwelować efekty pracy całego działu bezpieczeństwa IT. W wielu przypadkach nie jest to

Od dawna mówimy, że sama technologia nie stanowi wystarczającej ochrony dla firmy przed cyberzagrożeniami. Jedna osoba może zniwelować efekty pracy całego działu bezpieczeństwa IT. W wielu przypadkach nie jest to celowe, lecz wynika z braku podstawowej wiedzy na temat cyberbezpieczeństwa, braku świadomości odnośnie zagrożeń czy zwyczajnie nieostrożności. To dlatego wiele firm (wg naszych danych jest ich około 65%) zainwestowało już w szkolenia pracowników na temat cyberbezpieczeństwa.

Jednak zawsze mogą pojawić się jakieś komplikacje. Osoba, która podejmuje decyzję, że należy zwiększyć świadomość personelu, nie zawsze jest tą, która jest odpowiedzialna za zorganizowanie szkolenia. I choć pierwsza osoba widzi problem, druga może nie zrozumieć, czym powinno być szkolenie związane z cyberbezpieczeństwem, jak przeszkolić personel, a nawet dlaczego jest to potrzebne.

Zrozumieć problem

Wyobraź sobie, że Twoim zadaniem jest zwiększenie świadomości odnośnie cyberbezpieczeństwa. Na czym — wg Ciebie — ona polega? Aby to sprawdzić, wraz z firmą badawczą firm B2B International postanowiliśmy zebrać informacje od 5 000 firm na całym świecie. Sprawdziliśmy, jak one postrzegają ten problem oraz jaki wg nich poszczególni pracownicy mają wpływ w konkretnych incydentach związanych z cyberbezpieczeństwem. W skrócie sytuacja wygląda tak:

  • 46% incydentów, które miały miejsce w zeszłym roku, miało związek z przypadkowym naruszeniem zasad cyberbezpieczeństwa w firmie przez pracowników.
  • Wśród firm, które miały do czynienia ze szkodliwym programem, 53% stwierdziło, że infekcja mogłaby się nie wydarzyć, gdyby nie działanie nieuważnego pracownika, a 36% obwinia za to socjotechnikę, czyli fakt, że ktoś celowo zmanipulował pracownika.
  • Ataki ukierunkowane wykorzystujące phishing i socjotechnikę osiągnęły skuteczność na poziomie 28%.
  • W 40% przypadków pracownicy próbowali ukryć incydent, przez co zwiększali szkodę i narażali firmę na jeszcze większe problemy z bezpieczeństwem.
  • Niemal połowa respondentów obawia się, że ich pracownicy nieumyślnie ujawnią informacje firmy za pośrednictwem urządzeń mobilnych, które przynoszą do pracy.

Pełny tekst badania (dostępny w języku angielskim) jest dostępny po kliknięciu poniższego baneru. Raport wyczerpująco odpowiada na pytanie, czy warto zwiększać świadomość w zakresie cyberbezpieczeństwa.

Jak nauczyć świadomości w zakresie cyberbezpieczeństwa

Istotny jest także sposób, w jaki to zrobimy. Dostępnych jest wiele kursów, wykładów i warsztatów. Jednak szkolenie wiąże się z poświęceniem czasu i pieniędzy: trzeba mieć pewność, że będzie ono skuteczne.

Weźmy na przykład problem ukrycia incydentu. Możesz zrobić zebranie z pracownikami i powiedzieć, że zgłaszanie takich incydentów jest ważne. Prawdopodobnie odpowiedzą, że zrozumieli — i nadal będą to robić, w nadziei, że unikną odpowiedzialności.

Dlatego lepiej jest najpierw zrozumieć motywację ich działania. W wielu przypadkach pracownicy zostali poinformowani przez swoich kierowników lub osoby odpowiedzialne za bezpieczeństwo IT o ścisłych regułach, lecz nie zostały one wyjaśnione. Czasami zarząd i dział bezpieczeństwa informacji także wymagają przeszkolenia — jak wyjaśniać zasady.

Wiedzieć, czego uczyć

Aby nie dać się pokonać dzisiejszym skomplikowanym cyberzagrożeniom, firma musi działać jak zdrowy organizm, w którym różne działy mają różne zadania i różne obszary odpowiedzialności. Naturalnie oznacza to, że muszą one nauczyć się wielu nowych rzeczy. Zarząd firmy musi być świadomy zagrożeń i rozumieć związane z nimi potencjalne koszty — zarówno finansowe, jak i te dotyczące reputacji. Zarząd średniego szczebla oraz działy odpowiedzialne za bezpieczeństwo informacji muszą mieć skrupulatną wiedzę na temat pojawiających się zagrożeń oraz móc podejmować działania zwiększające cyberodporność. Ponadto muszą być w stanie odpowiednio komunikować się z większością personelu. Jeśli chodzi o specjalistów, wiedza na temat zagrożeń jest mniej istotna niż umiejętność ich unikania.

Dlatego nasze podejście do szkolenia wykorzystuje rozróżnienie personelu wg rangi i funkcji.

Aby dowiedzieć się więcej lub zlecić szkolenie dla pracowników, należy wypełnić formularz umieszczony pod niniejszym tekstem w wersji angielskiej: https://www.kaspersky.com/blog/human-factor-weakest-link/17430/.

Porady