Cyber Essentials #2 – Twój zespół i użytkownicy – element ludzki

Home / Aktualności / Cyber Essentials #2 – Twój zespół i użytkownicy – element ludzki

Jako użytkownicy sprzętu i systemów cyfrowych Twojej organizacji, pracownicy są istotnymi elementami kultury bezpiecznego korzystania z zasobów cyfrowych.  I mówimy tu zarówno o zaawansowanych użytkownikach, takich jak Twój zespół ds. Bezpieczeństwa jak i użytkownikach końcowych – chcących szybko załatwić swoje sprawy przy użyciu cyfrowych narzędzi.  Ostatecznie organizacja jest tak mocna jak jej najsłabsze ogniwo, a tak często wspominany przez praktyków bezpieczeństwa informacji human error nieraz stanowi o powodzeniu całego ataku. 

Jako osoba odpowiedzialna za bezpieczeństwo IT, możesz rozważać różne sposoby podziału ludzi w otoczeniu organizacji. I przede wszystkim – biorąc pod uwagę obecną popularność ataków typu supply-chain (docieranie do organizacji poprzez zainfekowanie jej dostawców) – nie należy limitować ludzkiego elementu bezpieczeństwa IT jedynie do pracowników Twojej firmy. 

Proponujemy następujący podział: 
  1. Zespół – Twoi pracownicy, pierwszy element reagowania i najbardziej świadomi użytkownicy. są często pierwszą linią obrony Twojej organizacji. Inwestowanie w personel zmniejsza podatnościi napędza kulturę własności. Muszą być przygotowani do rozpoznawania zagrożeń cyberbezpieczeństwa, takich jak oszustwa phishingowe,wymuszenia haseł, braku odpowiednich łatek oprogramowania czy używanie przestarzałych systemów.  Dodatkowo muszą być przeszkoleni w zakresie odpowiedniego reagowania i komunikacji w zakresie reagowania na incydenty. 
     
  1. Kadra menadżerska – to użytkownicy, jednak tacy, którzy bez świadomości konieczności zapewnienia bezpieczeństwa danych i systemów – potrafią być szczególnie uciążliwi. Myśl o nich jako o “sponsorach projektu cyberbezpieczeństwo” w Twojej firmie. 
     
  1. Użytkownicy – każdy kto wchodzi w interakcje z cyfrowymi zasobami Twojej firmy. Ich świadomość jest kluczowa – ponieważ jest ich zbyt wielu by punktowo wyłapać wszystkie incydenty. 
     
  1. Dostawcy – ludzie, którzy z mają dostęp do wewnętrznych systemów ze względu na powiązania biznesowe z Twoją organizacją.  

Na szczęście istnieje wiele zasobów oraz metod, które można wykorzystać by rozwijać wiedzę i świadomość cyberbezpieczeństwa u powyższych grup.

Wymienimy je poniżej: 
  1. Rozwijaj kulturę świadomości, aby zachęcić pracowników do dokonywania dobrych wyborów online.
    • zidentyfikuj zachowanie, które chcesz zmienić i opracuj strategię cyberbezpieczeństwa ukierunkowanąoczekiwania cybernetyczne.

    • Określ, jak wygląda sukces, korzystając z wytycznych i zasad – uwzględnij je w politykach bezpieczeństwa IT i przypominaj o nich.

    • Stale wzmacniaj cyberhigiena jak w przypadku innych higieny miejsca pracy (np. mycie rąk, profesjonalizm itp.).

    • Utwórz struktury promujące kształtowanie dobrych nawyków (np. uznanie za dobre zachowanie, utrata przywilejów dlauporczywe lekkomyślne zachowanie)

Przydatne zasoby: 

https://gcatoolkit.org/smallbusiness/ – zestaw wskazówek do rozwijania świadomości w zakresie bezpieczeństwa IT. Wbrew nazwie linku – nie tylko dla małych biznesów. 
 
 

  1. Postaw na edukację pracowników w zakresie ataków takich jak wyłudzanie informacji i ataki na firmową pocztę e-mail. Pracownicy powinni być w stanieidentyfikować znaki towarowe złośliwych wiadomości e-mail.  
    • Powiadom pracowników o taktykach phishingu i oszustw, a także uwzględnijnajnowsze zmiany w regularnych szkoleniach.

    • Regularne aktualizacje i przypomnienia informują wszystkich o aktualnych zagrożeniach ijak sobie z nimi radzić, jeśli zostaną napotkane

Upewnij się, że pracownicy wiedzą, jak i komu zgłaszać podejrzane e-maile lubmożliwe próby phishingu!!! 
 

Przydatne zasoby – CISA Cybersecurity Tips: https://us-cert.cisa.gov/ncas/tips/ST04-014 

  1. Zidentyfikuj i wykorzystaj dostępne zasoby szkoleniowe. Organizacje powinny wiedzieć, czy już to zrobiłyzasoby szkoleniowe, które są po prostu niedostatecznie wykorzystywane, czy też należy szukać poza organizacją, aby je znaleźć. Szkolenie personelu i promowanie cyberświadomości nie oznacza, że ​​musisz tworzyć materiały szkolenioweod zera.
    • Wiele organizacji zawodowych, stowarzyszeń branżowych i instytucji naukowych, a także prywatnychsieci sektorowe i rządowe zapewniają gotowe do użycia zasoby szkoleniowe w zakresie cyberbezpieczeństwa bez żadnych kosztów.

    • Zaangażuj dział HR Twojej organizacji, aby określić, które zasoby są dostępne dla Twojej branży.


Przydatne zasoby: – NIST Workforce Management Guidebook 

Utrzymuj świadomość bieżących wydarzeń związanych z cyberbezpieczeństwem. Bądź proaktywny; ostrzegać personel o zagrożeniachktóre organizacja może napotkać. Zachowaj czujność: 

  •  jakie rodzaje cyberataków doświadczają inne organizacje lub inne osoby z mojej branży? 
  • Jaka taktyka pomogła pokrewnym organizacjom w ograniczeniu obrażeń?
  • Co moi pracownicy muszą wiedzieć, aby pomóc chronić organizację i siebie nawzajem?  
  • Czy na poziomie krajowym są jakieś pilnecyberzagrożenia, o których muszą wiedzieć moi pracownicy? 

Nie zapomnij zapytać o to swoich dostawców cyberbezpieczeństwa – wiedza zdobyta przy wdrożeniach, przełożona na praktyczne wskazówki może okazać się bezcenna! 


Powiązane posty

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.