A biztonságtechnikai gyártók egyre komplexebb "platformizált" rendszereket, Concorde-effektust létrehozó beszállítói függőségeket és felhőből érkező "veszély-intelligenciára" alapuló előfizetéseket szeretnek értékesíteni, amelyek eredményessége bár nem kétséges, de mégis nagyon nehezen mérhető szilárd alapokon.
Előremutató, hogy szemben a korábbi ajánlások és szabványok felületes iránymutatásaival, a NIS2 - egyelőre nem végleges - kontroll-listájában kifejezetten részletes elvárásokat fogalmaztak meg a hatékony képzések kapcsán, bár ezen elvárásoknak nagy része sajnos (jelen állás szerint) még a legmagasabb "Biztonsági osztály" mellett sem kötelező. Üdítő ellenpélda a "3.9. Szerepkör alapú biztonsági képzés" és azon belül is a 3.9.3-as kontrollpont, amely viszont mindenki számára elvárás:
"Beépíti a belső vagy külső biztonsági eseményekből levont tanulságokat a szerepköralapú biztonsági képzésekbe."
A "szerepköralapú" megfogalmazás implikálja, hogy eltérő jogosultsági szintekhez vagy üzleti funkciókhoz, szervezeti szerepekhez tartozzanak eltérő tematikák. Ennél még fontosabb, hogy a képzés a szervezetben tényleg felmerülő fenyegetettségek és események figyelembevételével, azokra visszautaló tematikával történjen.
A biztonsági oktatás mindezek ellenére a legtöbbször évi néhány találkozási pont esetében inkább egy kötelező rossz tananyagnak tűnhet a szakmán kívülieknek. Ráadásul, mérés nélkül teljesítmény-indikátorokat sem egyéni, sem szervezeti szinten nem tudnak befolyásolni.
Oktatás helyett részvétel
A helyes megközelítés véleményem szerint két alappillérből áll: egyrészt a munkatársak bevonása az őket személy szerint érintő biztonsági kérdések teljes életciklusába, másrészről pedig a személyes teljesítményük valamilyen egzakt mérése.
Amennyiben például a helyes jelszóhasználat általános praktikái és komplexitási szabályai helyett mindenkit a saját maga által létrehozott accountok és jelszavak biztonságára figyelmeztetünk, (vagy megkérdezzük, hogy bekapcsolták-e az MFA-t egy külső portálon), nagyobb esélyt látok rá, hogy azzal tényleg kezdjenek valamit. Ezt ráadásul viszonylag könnyen mérhetővé is tehetjük a felderített gyenge jelszavak számossága alapján.
Ugyanilyen módon, ha az adatkezelési alapelvek oktatása helyett megkérdezzük őket, milyen személyes adatokkal dolgoznak egy-egy olyan konkrét alkalmazásban, amit személy szerint gyakran használnak, több értékes információt kaphatunk a tényleges üzleti folyamatokról. Ráadásul talán megfontoltabb adatkezelési döntésekre késztethetjük őket a következő alkalommal, amelyet a DLP rendszerek riasztásai is kiválóan visszamérhetnek.
A személyre szabott és szerepkör-alapú oktatás tehát feltételezi, hogy mi is rendelkezünk némi információval arról, mit csinál általában az adott munkatársunk, milyen kockázatokat hordozhat a tevékenysége és hogyan tudjuk erre felhívni a figyelmét.
Abban a pillanatban, hogy ezek alapján adunk (vagy kérünk) visszajelzést, az oktatás kétirányú kommunikációvá változik. Házi feladat megoldások helyett olyan tevékenységekre kérhetjük meg őket, amelyek folyamatában javítják a vállalatot érintő kockázatokat.
Cégenként eltérő megoldások és technológiák lehetnek erre alkalmasak, de az egészen biztos, hogy a felhő helyes használata és a jelszóhigiénia két olyan alappillér, amire mindenhol érdemes alapozni.
A Scirge személyre szabott oktatófelületén pont erről a két témáról tudunk egy egyedi tartalommal felépített mini-portált üzemeltetni. Sok vállalatnak egy ilyen lépéssel kezdődhet a kollégák bevonása a biztonsági folyamatokba, hogy aktív részvétellel segíthessék a security üzemeltetőket.
Cikkünk a ComputerTrends magazin 2024. június 6-ai nyomtatott lapszámában jelent meg.