Ako vybudovať udržateľnú bezpečnostnú kultúru spoločnosti
Ľudia sú novým perimetrom – ktokoľvek sa môže stať cieľom a ktokoľvek môže podkopať bezpečnostnú pozíciu svojej organizácie jediným nevedomým prešľapom ale aj úmyselne zlomyseľným činom. Ako obrátiť scenár vo Váš prospech a premeniť vektor, ktorý je pod najväčším útokom, na kritickú vrstvu ochrany?
Krátka odpoveď je, že musíte zariadiť zmenu správania užívateľov vybudovaním systematickej a udržateľnej bezpečnostnej kultúry, ktorá je prispôsobená Vašej organizácii.
To si vyžaduje výraznú zmenu v tom, ako pristupujete k školeniam o bezpečnosti. Podľa správy „State of the Phish 2022“ od spoločnosti Proofpoint má síce 99 % organizácií školiaci program na zvyšovanie povedomia o bezpečnosti – a predsa len 55 % pracujúcich dospelých vie, čo znamená pojem „phishing“. To je určite znepokojujúce vzhľadom na to, že phishing je už roky hlavnou kybernetickou hrozbou.
Aj keď je cieľom školenia na zvýšenie povedomia o bezpečnosti dosiahnuť zmysluplné bezpečnostné výsledky – napríklad menej kliknutí na škodlivé odkazy, menej kompromitovaných účtovných operácií a menej úspešné phishingové incidenty – mnohé programy jednoducho neprinášajú trvalú zmenu pre užívateľov. Niekoľko hodín školenia ročne neprinúti väčšinu používateľov, aby si osvojili bezpečnostné myslenie z dlhodobého hľadiska. Budovanie silnej bezpečnostnej kultúry to ale urobí.
Čo je to bezpečnostná kultúra?
Keď má organizácia udržateľnú kultúru bezpečnosti, zamestnanci cítia, že oni a ich spolupracovníci sú zodpovední za to, aby zabránili bezpečnostným incidentom. Rozumejú, prečo je kybernetická bezpečnosť dôležitá. A čo je dôležité, cítia sa oprávnení konať – a pohodlne sa obrátiť na bezpečnostný IT tím, keď uvidia niečo podozrivé alebo urobia chybu.
Vybudovanie kultúry zabezpečenia a jej začlenenie do štruktúry základnej firemnej kultúry Vašej organizácie si vyžaduje nájsť spôsoby, ako zmeniť spôsob, akým ľudia uvažujú o bezpečnosti. Vaším cieľom je vybudovať kultúru bezpečnosti, ktorá je:
- Holistická a nepretržitá – zamestnanci sa neustále učia a sú zapojení a ostražití, pretože rozumejú svojej úlohe v obrane
- Má určené zodpovedné osoby na všetkých firemných vrstvách – podpora bezpečnosti naprieč organizáciou, a to aj na jej najvyšších úrovniach a jej prepojenie, tak aby všetci vedeli na koho sa obrátiť
Aké sú výhody silnej bezpečnostnej kultúry?
Keď vytvoríte a udržiavate robustnú kultúru zabezpečenia, celkový stav zabezpečenia Vašej organizácie sa zlepší – spolu s agilitou a odolnosťou. Zamestnanci sa cítia zodpovední za to, aby pomohli predchádzať bezpečnostným incidentom a bezpečnostné tímy môžu rýchlejšie reagovať na hrozby a riešiť incidenty.
Okrem toho môžete znížiť riziko. S rastúcou prácou na diaľku, migráciou do cloudu a používaním osobných zariadení rýchlo rastie kybernetické riziko. Silná bezpečnostná kultúra môže pomôcť efektívnejšie zmeniť nebezpečné správanie používateľov, pretože zamestnanci veria, že kybernetické hrozby sú materiálnym rizikom pre úspech organizácie a môžu ich ovplyvniť aj osobne.
Ako získať účasť vedenia na bezpečnostnej kultúre?
Ako prvé pomáha zmapovať všetky možné scenáre pre bežné bezpečnostné incidenty, ktoré pomôžu zvýšiť povedomie vedúcich pracovníkov o rizikách. Musia pochopiť obchodné dopady útoku a tiež ktorí používatelia v organizácii sú najrizikovejší a prečo. A nezabudnite na overené štatistiky: tvrdé údaje oslovia zameranie vedenia na konečný výsledok.
Zdôvodnenie nákladov a úsilia
Keď už hovoríme o tvrdých údajoch, ak potrebujete zmeniť myslenie tých, ktorí rozhodujú o rozpočte vo Vašej finančnej organizácii, poukazujte na bežnú cenu narušenia bezpečnosti – čo je v priemere 4,24 milióna dolárov, podľa výskumu Ponemon Institute. Potom to porovnajte s nákladmi na bezpečnostné školenie, ktoré sa zjavne ani zďaleka nepribližujú tejto hodnote.
Pokiaľ ide o námahu, hľadajte riešenia, ktoré môžu pomôcť zautomatizovať procesy manuálneho zabezpečenia – a vytvoriť úsporu času a nákladov pre podnikanie a zároveň znížiť riziko. Ak Vášmu bezpečnostnému tímu chýbajú zdroje na spravovanie komplikovanejších a nepretržitých školení na zvýšenie povedomia o bezpečnosti, zvážte použitie manažovaného vzdelávania pre Vašich užívateľov. Ako eWAY Vám radi službu manažovania Vášho vzdelávania užívateľov poskytneme.
Udržiavanie interakcie používateľov
Nemôžete očakávať, že používatelia si osvoja bezpečnostné myslenie, ak im nevysvetlíte, prečo je to dôležité. Mnoho zamestnancov vo Vašej organizácii pravdepodobne nepovažuje bezpečnosť za súčasť svojej práce, alebo si jednoducho neuvedomujú hodnotu vynaloženého úsilia na to, aby boli aktívnym obrancom.
Urobte veci osobnými tým, že používateľom ukážete ich rizikový profil. Poskytujte tiež pravidelnú komunikáciu o incidentoch, ktoré sa dejú v „reálnom svete“ mimo Vašej organizácie. Zdieľajte napríklad informácie o porušení údajov, ktoré sa dostanú do titulkov, najmä ak majú vplyv na Vaše odvetvie.
A nakoniec zostavte svoj program tak, aby bolo používateľom jasné, prečo sú pre nich informácie a učenie osobne cenné. Zdôraznite, že svoje zručnosti v oblasti povedomia o bezpečnosti môžu využiť kdekoľvek – vrátane domova, aby pomohli ochrániť seba a svojich blízkych.
Známky skutočnej zmeny správania
Akcie používateľov, postoje a presvedčenia definujú bezpečnostnú kultúru organizácie. A keď dosiahnete dobre rozvinutú bezpečnostnú kultúru, u Vašich používateľov bude zrejmé nasledujúce správanie a myslenie:
