Mindig is fontosnak tartották a biztonságért felelős vezetők a hatékony kibervédelmet támogató biztonsági kultúra kialakítását. Ha ugyanis az alkalmazottak nincsenek tisztában cselekedeteik következményeivel, s könnyelműen kezelik a rájuk bízott bizalmas adatokat és informatikai eszközöket, a legfejlettebb technológiai megoldások sem fogják tudni megvédeni az informatikai rendszereket. Szakértők szerint az utóbbi években számottevően nőtt a biztonságtudatos alkalmazotti szemlélet kialakítására hivatott programok jelentősége. Az alábbiakban Ira Winkler, a CIO.com munkatársának cikke alapján áttekintjük azokat az elemeket, amelyekre feltétlenül szükség van a biztonságtudatosságot felépítő program sikeréhez.
Felsővezetői támogatás
A vállalatvezetés támogatásának elnyerése több szabadságot, nagyobb költségvetést és a többi részleg jobb együttműködési hajlandóságát eredményezi. Aki a biztonságtudatos szemlélet kialakítását célul kitűző programot indít, annak mindenekelőtt erős támogatást kell kapnia a menedzsmenttől, ha sikeres projektet akar megvalósítani. Ennek elérése nagyon nehéz feladat, de léteznek olyan módszerek, amelyekkel szinte biztosra lehet menni. Ezek közé tartozik annak hangsúlyozása, hogy a biztonságtudatos szemléletre feltétlenül szükség van a szabályozásoknak megfeleléshez, és a kialakítása érdekében tett erőfeszítések mindenképpen költségmegtakarítást eredményeznek a vállalat számára. A kifejezetten a vezetőknek szánt anyagok, például hírlevelek, az újdonságokat és tippeket tartalmazó rövid cikkek ugyancsak segítenek elnyerni a hőn áhított támogatást.
Kulcsrészlegek bevonása
A sikeres biztonságtudatossági programok megtalálják a többi részleg - jogi, megfelelőségi, HR-, marketing- stb. - bevonásának módját. Bár kétségtelenül egyszerűbb elnyerni ezek támogatását, ha magunk mögött tudhatjuk a felsővezetést, mivel ezeknek a részlegeknek is érdekük a védelem hatékonyságának növelése, további erőforrásokat és ösztönzést kaphatunk tőlük a projekt megvalósításához. Például a jogi és a megfelelőségi osztály tekintélyével elérheti, hogy a biztonságtudatosság kialakítása bizonyos folyamatoknak, így például az új alkalmazottak kiképzésének alapvető elemévé váljon.
Érdemes a részlegek támogatásának elnyeréséhez beépíteni a programba az egyes osztályok biztonsági igényeit. Javasolni lehet, hogy a program hírlevelébe kerüljenek be a törvényi megfelelőséggel kapcsolatos információk. Ha ennek köszönhetően megvalósul a támogatás, megérte a próbálkozás.
Vannak olyan részlegek, amelyeket ki sem lehet hagyni a biztonságtudatossági programból. A kommunikációs osztályra például feltétlenül szükség van az alkalmazottaknak szánt tájékoztató anyagok jóváhagyásához és szétosztásához a vállalati biztonsági politikával összhangban.
Legyünk relevánsak!
Sajnálatos módon a legtöbb biztonságtudatossági képzési program meghatározott tematika alapján összeállított tréningvideókból áll. Márpedig a folyamatosan frissített, aktuális információkat tartalmazó programokkal sokkal hatékonyabban előzhetők meg és védhetők ki a támadások.
A különféle kibertámadásoknak ugyanis nem kell feltétlenül veszélyt jelenteniük a szervezetünkre: ha jól értesültek vagyunk, időben megtehetjük a szükséges óvintézkedéseket. Jó példa erre a WannaCry zsarolóprogram, amely annak ellenére okozott komoly károkat, hogy világszerte hatalmas publicitást kapott a médiában.
Mérjük a sikert!
Akkor tudjuk alátámasztani egy projekt - esetünkben a biztonságtudatosságot kialakító képzés - létjogosultságát, ha bizonyítani tudjuk annak sikerességét. Ehhez először is bázist kell képeznünk, vagyis fel kell mérnünk a tréning előtti helyzetet, ennek hiányában ugyanis nehéz bizonyítani, hogy az erőfeszítések eredményre vezettek.
Vizsgáljuk meg az állapotfelmérés során az alkalmazottak viselkedését bizonyos helyzetekben! Jó hasznát vehetjük egy adathalászatot szimuláló eszköznek, amelyet célszerű a tréning előtt és után is lefuttatni. Érdemes áttekinteni a help desknek jelentett biztonsági incidensek számát, a vírusfertőzési kísérletek, valamint a betiltott weboldalak megnyitására tett kísérletek számát. Ha mérhető javulást tudunk kimutatni a biztonsági helyzet bármely vonatkozásában, jobban el tudjuk majd fogadtatni a programot, és könnyebben tudunk további anyagi támogatást nyerni a folytatásához.
Legyünk informatívak!
Az informatikai biztonságért felelős részlegeket gyakran nevezik "nem szabad" osztályoknak, mivel főként azt mondják az embereknek, mit nem szabad csinálniuk, holott azok azt szeretnék tudni, miképpen hajthatják végre a kívánt műveleteket. Bár nyilvánvalóan léteznek olyan cselekedetek, amelyeket nem szabad megengedni, ezek inkább a kivételek közé tartoznak.
Sokkal sikeresebbek a biztonságtudatosság kialakítására irányuló azon erőfeszítések, amelyek arra összpontosítanak, miképpen lehet egy műveletet biztonságosan végrehajtani, mint azok, amelyek arra fókuszálnak, mit nem szabad tenniük az alkalmazottaknak. Ideális esetben a biztonságtudatos programok azt mutatják meg az embereknek, miképpen kezeljék az információkat biztonságosan mind az irodában, mind otthon. Például nem arra kell rávenniük az embereket, hogy egyáltalán ne látogassák a közösségi hálózatokat, hanem azt kell megmutatniuk nekik, miképpen használhatják azokat biztonságosan.
Tudatosság ösztönzése
Alakítsunk ki jutalmazási rendszert, amely az alkalmazottak bizonyos helyzetekben mutatott viselkedését díjazza. Bár szakértők szerint nem minden szervezet számára célszerű átfogó gamifikációs program bevezetése, a megfelelő reagálást a biztonsági kihívásokra mindenképpen érdemes lehet jutalmazni. Például díjazhatjuk, ha valaki jelent egy potenciális biztonsági incidenst (ami lehet egy adathalászati szimuláció során kiküldött üzenet is). Találjuk meg minél több módját annak, ahogyan a vállalati felhasználók demonstrálhatják éberségüket és biztonságtudatosságukat, s építsünk fel megfelelő jutalmazási struktúrát!
Használjunk többféle eszközt!
Bár leginkább a számítógépes tréningmodulok terjedtek el, a legsikeresebb biztonságtudatossági tréningek többféle eszközt használnak: hírleveleket, posztereket, játékokat, hírfolyamokat, blogokat, adathalászati szimulációkat. Minél inkább bevonja a program a résztvevőket, annál hatékonyabban oktatja a biztonsági ismereteket.
Figyelembe kell venni továbbá a program kialakításakor, hogy a felhasználók többféle korcsoporthoz tartoznak. Ezért célszerű az oktatási anyagok diverzifikálása annak érdekében, hogy a képzés a lehető legtöbb alkalmazott számlára vonzó legyen. A biztonságtudatos programok világában sem létezik olyasmi, hogy "egy méret mindenkinek".
Végszó
A fenti lista összeállításánál nem törekedtünk a teljességre, de a tárgyalt szempontok figyelembevételével már hatékony biztonságtudatos programok állíthatók össze. Ne felejtsük el, hogy a szokások alakítják a biztonsági kultúrát, és nincs olyan technológia, amely ellensúlyozhatna egy gyenge biztonsági kultúrát. A megfelelően lebonyolított biztonságtudatossági tréningek olyan tudást adnak, amely a kívánatos viselkedésekre ösztönöz. Bár a legtöbb szakértő vallja, hogy a megfelelő biztonsági viselkedés a józan észen alapul, a valóság az, hogy a józan ész a közös tudásra épül, ezt pedig tanulással lehet elsajátítani.