November 30-a a számítógépes biztonság világnapja (Computer Security Day), amely ismét egy jó alkalom, hogy végig gondoljuk, mit tettünk a szervezeti információbiztonságért az elmúlt esztendőben.

Minden szervezetnél az információbiztonság annyira erős, amennyire annak leggyengébb láncszeme, amely általában maga az ember. Az IT biztonságra – vagyis az elektronikus információs rendszerek logikai biztonságára – sokkal nagyobb figyelem fordítódik általában, mint a humán erőforrás biztonságára. A szükséges eszközök beszerzése ma már könnyen megvalósítható, az eszközök és megoldások beállításait a gyártó ajánlása és/vagy az információbiztonsági belső szabályozókban foglaltak szerint viszonylag egyszerűen be lehet állítani. Azonban a fentiekkel ellentétben a humán erőforrás információbiztonsági tudatossága rengeteg tényező függvénye.

Nagyon fontos, hogy van-e információbiztonsági előképzettsége vagy egyáltalán bármilyen a területet érintő tudása valakinek. Érdemes elemezni, hogy egy újonnan felvett kolléga milyen szervezeti- és biztonsági kultúrából érkezik, és az előző munkahelyén vajon milyen szervezeti információbiztonság érettség lehetett? Érdemes megnézni, hogy a szervezetnél felépített információbiztonsági program mentén történik-e a tudatosítás, vagy a szervezet egy éves 1 órás oktatással “letudja” a jogszabályban vagy szabványban, ajánlásban foglalt kötelezettségét? Számos kérdést fel lehet tenni, amely egy képet mutathat arról, hogy miként is áll egy szervezet információbiztonság tudatosság szempontjából, azonban általános tapasztalat, hogy nem munkakör specifikus oktatást kapnak a munkavállalók – ha kapnak egyáltalán -, sőt sok szervezetnél a munkakörök biztonsági szempontú besorolása sem valósul meg.

Előzőekre tekintettel javasolt minden szervezetnek felmérni, hogy a szervezeti egységei tekintetében milyen munkakörben kerülnek az érintettek foglalkoztatásra, milyen adatokhoz férnek hozzá, ehhez mérten feltárható, hogy az egyes munkaköröknek milyen információbiztonsági fenyegetettségei vannak. Más és más fenyegetettséggel kell szembenéznie egy felsővezetőnek, vagy egy ügyintézőnek, esetleg egy fizikai dolgozónak. A felsővezetők általában a szervezet számára legszenzitívebb adatokhoz férhetnek hozzá, így ők a “legtökéletesebb célpontok” olyan szofisztikált támadások esetén, mely például a versenytárs ipari kémkedéséhez köthető. Az ügyintézők valószínűleg sokkal inkább kitettek az információbiztonsági fenyegetéseknek, mint egy fizikai dolgozó, mert több elektronikus információs rendszert hasznának, érzékeny adatokkal is dolgozhatnak, így a kibertámadók célpontjába kerülhetnek, illetve a több rendszer használatából kifolyólag a véletlenszerű cselekmények elkövetésének a lehetősége is magasabb. Egy fizikai dolgozó általában kevés rendszert használ (munkaidő nyilvántartó, beléptető rendszer stb.), sokszor érzékeny információkkal nem találkoznak. A példából látható, hogy a két munkakör teljesen más kihívásokkal kell, hogy szembesüljön az információbiztonság területén, az ügyintéző egy fokozott veszélyeztetettségű információbiztonsági munkakör, míg a fizikai dolgozó egy általános vagy alacsony kockázati szintű munkakör az információbiztonság szempontjából.

Ha a munkakörök kockázatokkal arányos (fenyegetések szempontjából besorolt) minősítését követően rendelkezésre áll, hogy mely munkakörök tekintetében mely információbiztonsági területre kell koncentrálni, akkor könnyebb lesz az információbiztonság tudatosító programot is felállítani. Az információbiztonság érettség felmérése segíthet annak meghatározásában, hogy mely területek kerüljenek a fókuszba.

Egy információbiztonsági tudatosító program során számos lehetőség rendelkezésre áll, hogy az információbiztonsági tudatosság növelhető legyen. Ilyen megoldás lehet hírlevél kiküldése, e-learning, személyes és/vagy online oktatás tartása – előadás – a munkakörök besorolása szerint, de akár a manapság oly népszerű gamifikációs megoldások, mint például információbiztonsági szabaduló szoba, vagy információbiztonsági társasjátékok alkalmazása (akár csapatépítő tréning keretein belül is), de információbiztonsági versenyek, nyereményjátékok vagy kvízek is segíthetnek, akárcsak a különböző témájú kampányok az információbiztonság tudatosság növelésében.

A korábbi példáknál maradva az ügyintézői munkakörök részére érdemes lehet olyan hírlevelek készítése, amelyben a social engineering (pszichológiai manipuláció) fenyegetések bemutatása, különböző technikák alkalmazásának felismerése és a védekezés megoldásainak ismertetése valósul meg. Egy információbiztonsági szabadulószoba is megfelelő megoldás lehet, ahol a monitoron elhelyezett jelszavak felhasználásával, illetve egy laptopon a böngészőben megjegyeztetett jelszavak sérülékenységének kihasználásával eljuthat valaki a szabadulásig. Kampány keretein belül (például heti rendszerességgel) üzeneteket lehet elhelyezni az ügyintézők által használt irodai faliújságokon, melyek különböző fenyegetésekre hívják fel a figyelmet.

Egy fizikai munkásnak a fizikai biztonsági előírásokat kell előtérbe helyezni. Például oktatás keretein belül tudatosítani kell benne, ha olyan személlyel találkozik a szervezet védett területén, aki kíséret nélkül van, és nincs jelzés arra vonatkozóan, hogy ki is ő valójában és milyen célból tartózkodik az adott helyen, akkor azt mindenképp jelentse a meghatározott csatornákon.

Egy információbiztonsági tudatosító program felépíthető modulárisan is, és a különböző oktatóanyagok, hírlevelek és további megoldások témakörökre bontva kerülnek kidolgozásra és adott kockázati szintű munkakörök részére meghatározásra kerülhet, hogy mely modulok elvégzése kötelező és mely javasolt bizonyos munkakört betöltő személyek részére. Például az ügyintézőknek kötelező az adathalász támadásokról szóló modul, míg a fizikai munkásoknak a fizikai védelmi modul elvégzése és a számadás a megszerzett tudásról.

A munkakör specifikus információbiztonsági tudatosításnak egyre nagyobb szerepe lesz a jövőben. Minden célzott támadás a legkisebb ellenállás irányába fog elmozdulni és a támadók arra fognak koncentrálni, hogy mely ponton lehet a legkisebb erőbefektetéssel a legnagyobb eredményt elérni. Az információbiztonság tudatos munkavállalók a munkakörhöz kapcsolódó tudásuk mellett további olyan értéket képviselnek, amely felbecsülhetetlen a szervezet számára. A véletlen és nem szándékolt olyan cselekmények – melyek meghatározó mértékű negatív hatással vannak a szervezetre – bekövetkezési valószínűsége rendkívüli mértékben lecsökkenthető ezen személyek tekintetében. Az információbiztonsági szempontból nem tudatos dolgozók azonban a szándékos cselekmények mellett a nem szándékos és a véletlen cselekmények tekintetében is veszélyforrást jelentenek egy szervezet adatainak és információinak védelmére, mely események bekövetkezése rövid és hosszútávon egyaránt komoly károkat okozhat a szervezetnek.

Javasolt minden szervezetnek egy jól átgondolt, munkakör specifikus információbiztonsági tudatosító programot felállítani, folyamatosan végrehajtani és fejleszteni azt. A humán erőforrásban rejlő információbiztonsági kockázatok csökkentésével nagy lépést tehet egy szervezet a magasabb információbiztonsági érettségi szint elérése felé. Ne feledjük, jobb megelőzni a veszélyeket, mert az incidensek bekövetkezése után a károk helyreállítási költségei sokszorosan meghaladhatják a kollégák korábban elmulasztott, akár játékos formában megrendezésre kerülő tudatosításának költségeit.

Pin It on Pinterest