Brak świadomości kierownictwa na temat cyberbezpieczeństwa

Nie należy zakładać, że ludzie w ogólności mają wbudowaną świadomość ryzyka wynikającego z zagrożeń cybernetycznych. Wynika to z braku wiedzy na ten temat, ponieważ naturalnym stanem człowieka jest optymizm wobec własnego dobra oraz dobra organizacji. Organizacje inwestują dużo środków w celu ochrony poufnych informacji i własności intelektualnej, próbując zapobiec wycieku lub utraty danych. Stosują polityki i wdrażają techniczne rozwiązania pozwalające potencjalnie na ochronę przed uzyskaniem danych przez hakera. Jednym z typów ochrony jest wprowadzenie rozwiązań pozwalających na ochronę punktów końcowych (ang. endpoint protection solutions) przed umieszczeniem danych na pamięciach flash USB lub umieszczaniem ich na publicznych stronach www. Jednakże im większa i bardziej złożona organizacja, tym więcej wyjątków od zasad polityki i mechanizmów kontroli nad uprawnieniami. Dzieje się tak, ponieważ niektóre zadania wykonywane przez użytkownika wymagają więcej praw, niż jest to przyjęte w obowiązujących zasadach. Zatwierdzenie tych wyjątków często opiera się wyłącznie na potrzebach prowadzenia biznesu. Nasuwają się jednak pytania, czy zgoda na tego typu wyjątki wpływa na zagrożenie wycieku danych? Jakie są szczegóły zagrożenia w przypadku nadania konkretnemu użytkownikowi pewnych uprawnień?

Radzenie sobie z ryzykiem wycieku danych.

Poniżej znajduje się kilka rad, które opisują w jaki sposób można poradzić sobie z ryzykiem wycieku danych w organizacji:

  1. Organizacja powinna opracować i stworzyć politykę bezpieczeństwa użytkownika jako podrzędną w stosunku do polityki działającej w organizacji. Procedury bezpieczeństwa wszystkich systemów teleinformatycznych powinny być tworzone w kontekście wszystkich funkcji i procesów biznesowych.
  2. Nowi użytkownicy (w tym wykonawcy zewnętrzni) powinny być świadomi osobistej odpowiedzialności zgodne z polityką bezpieczeństwa już na etapie indukcji. Zasady i warunki zatrudnienia powinny być oficjalnie zaakceptowane przez obie strony – w szczególności działania dyscyplinarne. W idealnej wersji, proces początkowy rejestracji nowego pracownika powinien być połączony z kontrolą dostępu technicznych aspektów organizacji.
  3. Utrzymanie świadomości użytkowników na temat zagrożeń cybernetycznych napotkanych przez organizację. Bez wyjątku, wszyscy użytkownicy/pracownicy powinni otrzymywać regularne szkolenia odświeżające i rozszerzające wiedzę na temat zagrożeń cybernetycznych w kontekście organizacji, pracowników i osób fizycznych.
  4. Personel powinien być zachęcany do rozwijania wiedzy na temat zasad gwarancji bezpieczeństwa informacji (ang. Information Assurance). Personel odpowiedzialny za bezpieczeństwo powinien mieć możliwość rozwijania umiejętności oraz ich oficjalnego potwierdzania, np. przez zdawanie egzaminów w oficjalnych jednostkach certyfikujących. Niektóre role związane z bezpieczeństwem, takie jak administrator systemów, czy członkowie zespołu zarządzania incydentami będą wymagać specjalistycznych szkoleń.
  5. Implementacja mechanizmów umożliwiających sprawdzenie skuteczności i wartości przewidzianych szkoleń dla personelu. Powinno się to odbywać przez formalne wysyłanie feedbacku i potencjalnie przez wykonywanie okresowych testów. Obszary, które w raportach podsumowujących mają najsłabsze wyniki, powinny być jako pierwsze kierowane na szkolenia dodatkowe.
  6. Promowanie kultury zgłaszania incydentów – organizacja powinna rozwijać kulturę bezpieczeństwa, przez co użytkownicy częściej i sprawniej będą zgłaszać swoje obawy i uwagi na temat praktyk oraz incydentów do menadżerów wyższego szczebla, bez obawy o wzajemne oskarżenia.
  7. Ustanowienie formalnego procesu dyscyplinarnego – wszyscy pracownicy powinni być świadomi, że wszelkie nadużycia polityki bezpieczeństwa organizacji spowoduje postępowanie dyscyplinarne wobec nich.