Cisco Poland Blog
Share

4 często zadawane pytania na temat kultury bezpieczeństwa

- 28 June 2018

Przez długi czas wielu pracowników, w tym kadra kierownicza, traktowało cyberbezpieczeństwo wyłącznie jako kwestię techniczną, jedną z tych rzeczy, którą zajmie się dział IT, a cały personel nietechniczny będzie po prostu wykonywać swoje obowiązki. Na szczęście takie podejście ulega zmianie (choć powoli) i coraz więcej firm zdaje sobie sprawę, że o ochronę przed zagrożeniami musi zadbać cały personel. Jedno kliknięcie w niewłaściwej wiadomości e-mail może narazić firmę na zagrożenia, takie jak oprogramowanie ransomware.

W ciągu ostatnich kilku miesięcy prowadziliśmy otwarte forum z klientami Cisco, słuchając ich obaw dotyczących sposobów budowania silniejszej kultury bezpieczeństwa w organizacjach i angażowania wszystkich pracowników. Oto cztery najczęściej zadawane pytania i nasze sugestie, jak radzić sobie z tymi wyzwaniami:

 

Minęły czasy, kiedy mogliśmy utrzymać zamkniętą sieć korporacyjną. Teraz mamy laptopy, telefony komórkowe i urządzenia osobiste podłączone w biurze i z lokalizacji zdalnych. Jak to wszystko kontrolować?

Zacznij od skupienia się na dwóch rzeczach: wglądzie w informacje i egzekwowaniu zasad. Najpierw zastanów się nad narzędziami, które pomogą Ci zobaczyć, kto i co jest podłączone do sieci, i upewnij się, że każda osoba ma dostęp na poziomie adekwatnym do roli.

Ważne jest, aby widzieć nie tylko, co jest podłączone, ale także jak się zachowuje. Chodzi o dostrzeganie anomalii, dzięki którym można szybko wykryć zagrożenia i uruchomić środki zaradcze. W tym miejscu pojawia się kwestia egzekwowania zasad. Możesz korzystać z pracy zdalnej i BYOD, ale musisz ustalić podstawowe reguły. Możesz na przykład zezwolić na wykorzystywanie do pracy prywatnych iPadów, ale tylko wtedy, gdy użytkownik zaakceptuje pewne zasady i zainstaluje określone rzeczy w celu ochrony urządzeń. Pracownikom wolno na przykład korzystać z laptopów na lotnisku, ale pod warunkiem połączenia przez VPN. Nie należy zakazywać ludziom robienia rzeczy, które zwiększają ich produktywność — lepiej zastanowić się, jak im to umożliwić w bezpieczniejszy sposób.

 

Czy pracownicy są najsłabszym ogniwem bezpieczeństwa organizacji?

Często słyszymy to pytanie, ale organizacja bez personelu nie istnieje. Firma musi być bezpieczna także po to, aby umożliwić pracownikom lepsze wykonywanie pracy. Nie należy postrzegać ich jako „wroga”, którego trzeba powstrzymać przed robieniem czegoś, co zaszkodzi organizacji. Potrzebne są relacje oparte na zaufaniu, w przeciwnym razie po jednej stronie barykady będzie znajdować się dział IT i dział bezpieczeństwa, próbujący maksymalnie ograniczyć dostęp w celu minimalizacji ryzyka, a po drugiej pracownicy, działający w sposób coraz bardziej przebiegły i wyszukujący sposoby na omijanie reguł utrudniających im realizowanie zadań (zjawisko to określa się mianem „shadow IT”).

Firmy powinny zastanowić się, jak edukować pracowników, aby przypadkowo nie narażali organizacji na ryzyko, a jednocześnie umożliwiać im bezpieczniejsze wykonywanie zadań. Niezbędna jest współpraca.

 

Jak radzić sobie z postawą „Nie mam nic do ukrycia, więc nie muszę niczego chronić”?

Wiele osób usprawiedliwia brak silnego hasła stwierdzeniem: „Kto chciałby czytać moje e-maile”, ale wystarczy zapytać, czy przekazałyby Ci swoją kartę bankową i PIN, a z pewnością odmówią. Nie dla każdego jest oczywiste, że wszystkie dane, nie tylko finansowe, mają swoją wartość. Mogą one być wykorzystane dla zysku, ale także do zaszkodzenia Twojej firmie. Wszystko jest połączone.

Warto podać pracownikom przykłady, do których mogliby się odnieść na osobistym poziomie. Na przykład ktoś mógłby zbierać ich dane osobowe na portalach społecznościowych, aby przejść wszystkie kontrole bezpieczeństwa i wyprowadzić dużą sumę pieniędzy z ich konta. Albo jakiś troll mógłby odgadnąć ich hasło do Facebooka i przejąć konto tylko po to, aby wysłać obsceniczne wiadomości do wszystkich znajomych.

Analogicznie w środowisku firmy hakerzy mogliby wykorzystać dane osobowe pracowników do zorganizowania ataku mającego na celu wyłudzenie informacji lub złamania zabezpieczeń firmowej poczty e-mail. Albo niezadowolony pracownik lub konkurent mógłby ujawnić firmowe wiadomości e-mail tylko po to, by skompromitować firmę w oczach klientów.

Ludzie czasami nie dbają o bezpieczeństwo, ponieważ nie widzą szerszej perspektywy. Może jednak okazać się, że uzyskanie dostępu do tego jednego systemu, który „nie ma znaczenia”, pozwala znaleźć drogę do najcenniejszych informacji przechowywanych przez firmę. Jeśli tylko uda Ci się wyjaśnić tę logikę, wzbudzisz większe zainteresowanie.

 

Jakie zmiany organizacyjne muszą zostać wprowadzone, aby pomóc w budowie bezpieczniejszego środowiska IT?

Każda organizacja jest inna, ale aby zmienić kulturę bezpieczeństwa, trzeba myśleć nie tyle o dokonywaniu zmian organizacyjnych (tzn. kto komu podlega), a raczej o otwieraniu linii komunikacji i regularnym dostosowywaniu priorytetów. Ludzie muszą ze sobą rozmawiać — tak po prostu. Niektóre firmy mogą próbować tworzyć takie linie komunikacji poprzez wprowadzanie zmian organizacyjnych, inne regularnie prowadzą tego rodzaju dyskusje mimo bardziej poziomej struktury.

Ale kilka decyzji organizacyjnych może pomóc. Na przykład przypisanie komuś odpowiedzialności za bezpieczeństwo na poziomie biznesowym pomoże we wdrożeniu zmian zarówno od góry do dołu hierarchii, jak i odwrotnie. Na przykład, jeśli Twój dyrektor generalny naprawdę ceni wartość bezpieczeństwa, będzie zachęcać do prowadzenia tych rozmów wewnętrznie na wszystkich poziomach.

Warto także znaleźć kogoś, kto będzie w stanie zbliżyć do siebie stronę „techniczną” i „biznesową”. Na przykład kierownictwo dba o wyniki działalności, więc posiadanie kogoś, kto potrafi wyjaśnić, dlaczego problemy bezpieczeństwa mogą mieć wpływ na przychody i rozwój firmy, pomoże w uzyskaniu poparcia kadry zarządzającej.

***

Masz inne pytania dotyczące kultury bezpieczeństwa? Zamieść komentarz.

 

 

 

Leave a comment