Cyber Essentials #2 – Twój zespół i użytkownicy – element ludzki
Jako użytkownicy sprzętu i systemów cyfrowych Twojej organizacji, pracownicy są istotnymi elementami kultury bezpiecznego korzystania z zasobów cyfrowych. I mówimy tu zarówno o zaawansowanych użytkownikach, takich jak Twój zespół ds. Bezpieczeństwa jak i użytkownikach końcowych – chcących szybko załatwić swoje sprawy przy użyciu cyfrowych narzędzi. Ostatecznie organizacja jest tak mocna jak jej najsłabsze ogniwo, a tak często wspominany przez praktyków bezpieczeństwa informacji human error nieraz stanowi o powodzeniu całego ataku.
Jako osoba odpowiedzialna za bezpieczeństwo IT, możesz rozważać różne sposoby podziału ludzi w otoczeniu organizacji. I przede wszystkim – biorąc pod uwagę obecną popularność ataków typu supply-chain (docieranie do organizacji poprzez zainfekowanie jej dostawców) – nie należy limitować ludzkiego elementu bezpieczeństwa IT jedynie do pracowników Twojej firmy.
Proponujemy następujący podział:
- Zespół – Twoi pracownicy, pierwszy element reagowania i najbardziej świadomi użytkownicy. są często pierwszą linią obrony Twojej organizacji. Inwestowanie w personel zmniejsza podatnościi napędza kulturę własności. Muszą być przygotowani do rozpoznawania zagrożeń cyberbezpieczeństwa, takich jak oszustwa phishingowe,wymuszenia haseł, braku odpowiednich łatek oprogramowania czy używanie przestarzałych systemów. Dodatkowo muszą być przeszkoleni w zakresie odpowiedniego reagowania i komunikacji w zakresie reagowania na incydenty.
- Kadra menadżerska – to użytkownicy, jednak tacy, którzy bez świadomości konieczności zapewnienia bezpieczeństwa danych i systemów – potrafią być szczególnie uciążliwi. Myśl o nich jako o “sponsorach projektu cyberbezpieczeństwo” w Twojej firmie.
- Użytkownicy – każdy kto wchodzi w interakcje z cyfrowymi zasobami Twojej firmy. Ich świadomość jest kluczowa – ponieważ jest ich zbyt wielu by punktowo wyłapać wszystkie incydenty.
- Dostawcy – ludzie, którzy z mają dostęp do wewnętrznych systemów ze względu na powiązania biznesowe z Twoją organizacją.
Na szczęście istnieje wiele zasobów oraz metod, które można wykorzystać by rozwijać wiedzę i świadomość cyberbezpieczeństwa u powyższych grup.
Wymienimy je poniżej:
- Rozwijaj kulturę świadomości, aby zachęcić pracowników do dokonywania dobrych wyborów online.
- zidentyfikuj zachowanie, które chcesz zmienić i opracuj strategię cyberbezpieczeństwa ukierunkowanąoczekiwania cybernetyczne.
- Określ, jak wygląda sukces, korzystając z wytycznych i zasad – uwzględnij je w politykach bezpieczeństwa IT i przypominaj o nich.
- Stale wzmacniaj cyberhigiena jak w przypadku innych higieny miejsca pracy (np. mycie rąk, profesjonalizm itp.).
- Utwórz struktury promujące kształtowanie dobrych nawyków (np. uznanie za dobre zachowanie, utrata przywilejów dlauporczywe lekkomyślne zachowanie)
Przydatne zasoby:
https://gcatoolkit.org/smallbusiness/ – zestaw wskazówek do rozwijania świadomości w zakresie bezpieczeństwa IT. Wbrew nazwie linku – nie tylko dla małych biznesów.
- Postaw na edukację pracowników w zakresie ataków takich jak wyłudzanie informacji i ataki na firmową pocztę e-mail. Pracownicy powinni być w stanieidentyfikować znaki towarowe złośliwych wiadomości e-mail.
- Powiadom pracowników o taktykach phishingu i oszustw, a także uwzględnijnajnowsze zmiany w regularnych szkoleniach.
- Regularne aktualizacje i przypomnienia informują wszystkich o aktualnych zagrożeniach ijak sobie z nimi radzić, jeśli zostaną napotkane
Upewnij się, że pracownicy wiedzą, jak i komu zgłaszać podejrzane e-maile lubmożliwe próby phishingu!!!
Przydatne zasoby – CISA Cybersecurity Tips: https://us-cert.cisa.gov/ncas/tips/ST04-014
- Zidentyfikuj i wykorzystaj dostępne zasoby szkoleniowe. Organizacje powinny wiedzieć, czy już to zrobiłyzasoby szkoleniowe, które są po prostu niedostatecznie wykorzystywane, czy też należy szukać poza organizacją, aby je znaleźć. Szkolenie personelu i promowanie cyberświadomości nie oznacza, że musisz tworzyć materiały szkolenioweod zera.
- Wiele organizacji zawodowych, stowarzyszeń branżowych i instytucji naukowych, a także prywatnychsieci sektorowe i rządowe zapewniają gotowe do użycia zasoby szkoleniowe w zakresie cyberbezpieczeństwa bez żadnych kosztów.
- Zaangażuj dział HR Twojej organizacji, aby określić, które zasoby są dostępne dla Twojej branży.
Przydatne zasoby: – NIST Workforce Management Guidebook
Utrzymuj świadomość bieżących wydarzeń związanych z cyberbezpieczeństwem. Bądź proaktywny; ostrzegać personel o zagrożeniachktóre organizacja może napotkać. Zachowaj czujność:
- jakie rodzaje cyberataków doświadczają inne organizacje lub inne osoby z mojej branży?
- Jaka taktyka pomogła pokrewnym organizacjom w ograniczeniu obrażeń?
- Co moi pracownicy muszą wiedzieć, aby pomóc chronić organizację i siebie nawzajem?
- Czy na poziomie krajowym są jakieś pilnecyberzagrożenia, o których muszą wiedzieć moi pracownicy?
Nie zapomnij zapytać o to swoich dostawców cyberbezpieczeństwa – wiedza zdobyta przy wdrożeniach, przełożona na praktyczne wskazówki może okazać się bezcenna!