Három tanács a vállalati biztonsági oktatáshoz

Számos olyan alkalmazott dolgozik a különféle szervezeteknél és vállalatoknál, aki a számítógépet csak a legalapvetőbb feladatokra tudja használni. Emiatt a belső fenyegetés komoly probléma lehet a legtöbb helyen. Belső fenyegetést jelenthet egy kártevőt tartalmazó e-mail, egy rosszindulatú alkalmazott, vagy akár egy olyan ártatlan munkavállaló is, akinek ellopták a belépési adatait, esetleg feltörték a számítógépét. Annak érdekében, hogy csökkentsék a belső fenyegetést, a szervezeteknek rendszeresen tovább kell képezniük alkalmazottaikat a legfrissebb támadási módszerekkel és veszélyekkel kapcsolatban. Ehhez ad néhány tanácsot a téma egyik hazai szakértője, a NetIQ Novell SUSE Magyarországi Képviselet.

 

1. Terjesszük ki a felelősséget!

Az oktatás során meg kell változtatni az alkalmazottak gondolkodásmódját a kiberbiztonságról. Nem szabad, hogy egyedül a biztonsági vagy az informatikai csapat feladatának tartsák a vállalat védelmét a kibertámadásoktól. Hiszen hiába építenek ki erős védvonalat az IT-szakemberek a cégben, ha az alkalmazottak nincsenek tisztában azzal, milyen komoly károkat okozhatnak a szabályok figyelmen kívül hagyásával. Minden munkatársnak fel kell mérnie és meg kell értenie, milyen felelőssége van abban, hogy a vállalat biztonságban legyen.

A kiberbűnözők sok esetben építenek a vállalati alkalmazottak tájékozatlanságára, például az adathalász kísérletek során. Amikor az ilyen levelek felismerésére oktatjuk az alkalmazottakat, mindenképpen ki kell térnünk arra is, mekkora károkat okozhatnak a vállalatnak azzal, ha bedőlnek az átverésnek. Érzékeltetnünk kell velük, milyen felelősséggel járhat akár minden egyes kattintás.

2. Tartsunk rendszeres oktatásokat!

Egyszeri tájékoztatás nem elég, hiszen az információ feledésbe merülhet, ráadásul folyton új veszélyek és támadási módszerek jelennek meg, amelyekről a lehető leghamarabb informálni kell minden munkatársat, aki potenciális célpont lehet. Márpedig napjainkban ez minden olyan munkatársra igaz, aki internetkapcsolatot használ.

Emellett az is fontos, hogy a kiberbiztonsághoz kapcsolódó információkat könnyen elérhetővé és jól kereshetővé tegyük az alkalmazottak számára, hogy egy-egy kérdéses esetben maguk is egyszerűen utánanézhessenek, vajon potenciális veszéllyel állnak-e szemben egy-egy szituációban.

Hiába költ vagyonokat a szervezet védelmi és megelőző szoftverekre, ha az alkalmazottak nem tudják azokat megfelelően használni, illetve nincsenek tisztában az alapvető biztonsági szabályokkal és felelősségekkel. Az alkalmazottak tudása ezen a téren is hatalom, csak ezzel együtt teljes a védelem.

3. Csökkentsük az alvállalkozókhoz kapcsolódó kockázatokat!

A teljes munkaidős alkalmazottak oktatása nem elég. Komoly kockázatot jelenthetnek azok a partnerek, beszállítók, alvállalkozók is, akik hozzáférnek az IT hálózathoz. Az egyik nagy amerikai boltlánc ellen például úgy indítottak támadást két éve, hogy a hűtő- és fűtőrendszert karbantartó vállalat belépési adatait lopták el. Az alvállalkozót egy malware e-mail segítségével támadták meg két hónappal azelőtt, hogy a támadók elkezdték volna összegyűjteni és ellopni az áruházlánc vásárlóinak hitelkártyaadatait.

Mivel hozzáféréssel rendelkeznek a vállalat érzékeny adataihoz, fontos, hogy az alvállalkozók is részesüljenek a kiberbiztonsági oktatásban. Ha a vállalat olyan partnerrel dolgozik, amelynél nincs hasonló képzés házon belül, akkor gondoskodni kell arról, hogy csak megfelelő tájékoztatás után kapja meg az alvállalkozó a hozzáférést a hálózathoz, adatokhoz és erőforrásokhoz.

Ezzel egyidejűleg az adott szervezetnek arra is figyelmet kell fordítani, hogy a saját informatikai munkatársait megfelelően képezze az alvállalkozói hozzáférések kezelésére és figyelésére, illetve a partnernél felmerülő esetleges hibák felismerésére. A fent említett példánál a hűtő- és fűtőrendszer karbantartója egy ingyenes, lakossági felhasználóknak szánt anti-malware szoftvert használt a vállalati szintű védelmet garantáló, teljes licenc helyett, ami a jelek szerint nem volt elégséges.