fbpx

Cyberbezpieczeństwo dla niespecjalistów

Działy IT w każdej organizacji, dokładają wszelkich starań, aby infrastruktura sieci była w należyty sposób chroniona przed różnego typu zagrożeniami. Inwestycje zazwyczaj dotyczą sprzętu (zakupy urządzeń klasy UTM, sprzętowy firewall itp.), ochrony endpointów i serwerów poprzez zakup nowoczesnych rozwiązań antywirusowych, systemów EDR, DLP czy mechanizmy patch managementu

Obowiązujące regulacje prawne, m.in. w zakresie RODO, wymagają także nakładów w obszarze szyfrowania i backupu, który jest niezbędny w momencie, gdy zawiedzie sprzęt lub dojdzie do utraty danych.

Giganci tworzą swoje własne Security Operations Center (SOC) i inwestują w systemy threat intelligence. 

To wszystko oczywiście jest uzasadnione i nieodzowne, aby mieć podstawowe poczucie bezpieczeństwa. Bardzo często jednak zapomina się o najważniejszym i ostatecznie najsłabszym ogniwie bezpieczeństwa każdej organizacji – człowieku.

To ludzie korzystają z infrastruktury, którą chronimy i nie ma tu znaczenia jak zaawansowane mechanizmy ochrony wykorzystujemy, błąd ludzki może doprowadzić do katastrofy, dlatego tak ważna jest edukacja ludzi – począwszy od szeregowego pracownika, poprzez specjalistów, aż po zarząd i VAP (very attacked person). 

Dlaczego należy edukować każdego bez wyjątku? Każdy z pracowników może nieświadomie stać się ofiarą nietracącego na popularności phishingu – sekretarka, księgowa, a nawet prezes zarządu. 

Podkreślenia wymaga tutaj, że członkowie zarządu z jednej strony są traktowani szalenie poważnie, jako osoby, które są atrakcyjnym celem dla cyberprzestępców, z drugiej jednak strony często osoby na wysokich stanowiskach zostają objęte szeregiem odstępstw, wykluczeń i furtek bezpieczeństwa – trudno wymusić specjalistom ds. bezpieczeństwa na członkach zarządu korzystanie z podwójnego uwierzytelniania (2FA), regularną zmianę haseł czy próbę blokowania dostępu do niektórych zasobów sieci.

Należy budować świadomość użytkowników poprzez ich ciągłe edukowanie, szkolenie i uświadamianie, że nie każdy załącznik w wiadomości e-mail jest bezpieczny, nie każdy link, który otrzymujemy jest niegroźny, oczywiście takie przykłady z życia wzięte można mnożyć i są one skrzętnie wykorzystywane podczas wszelkich prezentacji i szkoleń. 

Ważne jest, aby budowanie świadomości pracowników w zakresie cyberbezpieczeństwa odbywało się w sposób interaktywny – jeśli przekażemy pracownikom nawet najciekawszą prezentację czy dokument możemy być pewni, że większość użytkowników nie zapozna się z tymi materiałami bądź nie zrobi tego zbyt skrupulatnie.

Rozwiązaniem są szkolenia interaktywne, które wymuszają na szkolącym się pełne skupienie, wymagają zapoznania się z treścią każdego modułu, a jednocześnie nie nużą. Podczas takiego szkolenia uczestnik powinien od razu otrzymywać informację zwrotną nt. zadań, które zrealizował – niezależnie czy zostały one wykonane poprawnie. 

Informacja zwrotna, którą otrzyma użytkownik po udzieleniu odpowiedzi musi jednoznacznie wskazywać, których elementów zabrakło, np. podczas symulowanego logowania do banku – nie został sprawdzony certyfikat SSL, nie została zweryfikowana jego data ważności i podpis, czy też użytkownik nie zauważył literówki w adresie URL. 

Jeśli użytkownik od razu otrzyma informację zwrotną, to prawdopodobieństwo, że zapamięta na co należy zwrócić uwagę jest większe niż gdyby taka informacja została mu przekazana w podsumowaniu szkolenia. Podsumowanie i wyniki poszczególnych pracowników są ważne przede wszystkim dla przełożonych, którzy dzięki takim informacjom mogą ukierunkować kolejne szkolenia w taki sposób, aby uzupełnić konkretne braki u poszczególnych osób.

Przeszkolony pracownik, rozbudowujący swoją świadomość zarówno o istniejące, jak i nowe zagrożenia to bezpieczny pracownik, który staje się kolejnym ogniwem w organizacyjnym łańcuchu ochrony. 

Budowanie świadomości powinno dotyczyć każdego pracownika, który posługuje się w swojej pracy komputerem lub telefonem, nieważne czy jest to szeregowy pracownik, czy CEO, każdy z nich może być wektorem potencjalnego ataku i źródłem wielu problemów dla całego przedsiębiorstwa.  

Dlatego tak ważne jest, aby każdy pracownik był w stanie rozpoznać próby ataków i w odpowiedni sposób na nie zareagować. Inwestycja w edukację pracowników zwróci się wraz z pierwszym telefonem do działu IT, w którym księgowa przyzna, że otrzymała w wiadomości podejrzany załącznik, jednak nie zdecydowała się go otworzyć…

Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Zapytaj o produkt

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl