Zakaj je razvoj kulture kibernetske varnosti pomemben za vsako organizacijo?
Kako je mogoče, da lahko po letih vlaganja v kibernetsko varnost še vedno eno tako imenovano spletno ribarjenje (angl. phishing) privede do potencialnega incidenta, kjer je ogroženo poslovanje celotne organizacije?
Čeprav se programska oprema in postopki razvijajo in izpopolnjujejo že vrsto let, se podjetja še vedno soočajo z osnovnimi težavami, ki jih povzročajo napadi hekerjev. So podjetja neuspešna pri izobraževanju svojih zaposlenih ali postajajo napadalci bolj iznajdljivi?
En izmed odgovorov leži v trendih kibernetske varnosti. Po Gartnerju, se slednji premikajo od tradicionalnega ozaveščanja o varnosti k pristopu, ki se osredotoča na celovite programe sprememb vedenja in kulture[1]. To pomeni, da trenutni napori za usposabljanje zaposlenih pri prepoznavanju kibernetskih groženj niso dovolj. Razlog, zakaj je kibernetski varnosti potrebno nameniti več pozornosti, tiči prav v vplivu samega človeškega faktorja na odziv v primeru spletnega ribarjenja oz. phishinga.
ČLOVEŠKI FAKTOR V KIBERNETSKI VARNOSTI
Povečanje ozaveščenosti zaposlenih in obramba sta ključna za izboljšanje odpornosti kibernetske varnosti v podjetjih.
KATERA SO ČLOVEŠKA TVEGANJA V KIBERNETSKI VARNOSTI?
Bureau Veritas je preučeval 14 človeških tveganj, povezanih z človeškim vedenjem (Wetzer, 2022):
S tehnične strani je na naštete dejavnike težko vplivati. Nanje s svojimi odločitvami in ravnanji vpliva posameznik sam. Prav to pa postavlja vprašanje, kaj zaposlene sili k varnemu ali nevarnemu ravnanju.
POMEMBNOST ČLOVEŠKIH TVEGANJ V KIBERNETSKI VARNOSTI
Kot smo videli, so ljudje pogosto najšibkejši člen v verigi kibernetske varnosti (Rhodes, 2001). Sprejemanje najnovejših in najboljših tehnologij ter rešitev za varovanje vaših sistemov še vedno ni zadostno brez sodelovanja vaših zaposlenih.
Z razumevanjem razlogov ravnanj zaposlenih lahko podjetja učinkoviteje uvajajo nove tehnologije in politike varnosti (Sommestad, Karlzén in Hallberg, 2015).
KAJ SPODBUJA ČLOVEŠKO VEDENJE?
Ljudje pogosto vedo, kaj bi morali storiti, kar ne pomeni, da na koncu tako tudi ravnajo. Vemo, da med vožnjo ne bi smeli pisati sporočil ali prečkati ceste, ko je rdeča luč, vendar to še vedno počnemo. V našem vsakdanjem življenju je na tisoče primerov takšnih dejanj. To kaže, da samo zavedanje pravilnega vedenja še ne pomeni, da ga bomo dejansko izvajali. Večina ljudi ve, da bi morala uporabljati močna gesla, vendar je povprečna moč gesla v večini organizacij zelo šibka.
Zato opredeljujemo jasno vrzel med zavedanjem in vedenjem, kar velja tudi za področje kibernetske varnosti.
Osredotočanje le na ozaveščenost ne bo spremenilo vedenja nikogar. Nasprotno, vedenje se bo spremenilo tako, da se osredotočimo na odstranjevanje ovir in zagotovimo, da je končni cilj politike varnosti vedenje.
OSREDOTOČANJE LE NA OZAVEŠČENOST NE BO SPREMENILO VEDENJA LJUDI
Psihologi že dolgo vedo, da je vedenje mogoče pojasniti na različne načine. Eden od teh načinov je model MOA (angl. Motivation, Oportunity, Abilities), ki pojasnjuje, da se določeno vedenje zgodi le, ko pri posamezniku dosežemo določen nivo sposobnosti, motivacije in priložnosti (O¨ lander in Thøgersen, 1995).
Odkrivanje, kaj so ovire za varno ravnanje, je ključno za dober pristop h kibernetski varnosti v organizacijah. Le s preučevanjem teh ovir lahko izvajate določene ukrepe, ki dejansko spreminjajo vedenje zaposlenih.
KAKO VAM LAHKO BUREAU VERITAS POMAGA?
Certificiranje po mednarodno priznanih standardih vodenja omogoča vaši organizaciji nenehno izboljševanje. V naši ponudbi so storitve certificiranja, ki jih potrebujete za obvladovanje tveganj na področju informacijske varnosti:
- ISO 27001: Informacijska varnost
- ISO 27018: Zaščita osebnih podatkov v javnih oblakih
- ISO 27701: Upravljanje varnosti osebnih podatkov (GDPR)
- ISO 22301: Sistem vodenja neprekinjenega poslovanja
- TISAX: Zaupanje in varnost v avtomobilski industriji
- eIDAS: Kvalificirane storitve zaupanja
Poleg certificiranja vas nudimo tudi različna usposabljanja:
- Pomen in strategije za zagotavljanje neprekinjenega poslovanja v organizaciji
- Seminar za notranje presojevalce SUIV ISO 27001
- Seminar za notranje presojevalce SUIV nadgradnja na ISO 27001
- Seminar za vodilne presojevalce ISO 27001
- Sistemi upravljanja informacijske varnosti in zahteve ISO 27001
- TISAX 6.0
- Seminar za GDPR specialiste
REFERENCE
- [1] https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022
- Moore, S. (2022, 13. april). 7 Top Trends in Cybersecurity for 2022. Pridobljeno s www.gartner.com: https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022
- O¨ lander, F., & Thøgersen, J. (1995). Understanding of consumer behaviour as a prerequisite for. Journal of Consumer Policy, 18(4), 345-385.
- Rhodes, K. (2001). Operations Security Awereness: The Mind has No Firewall. Computer Security Journal, 18:3.
- Sommestad, T., Karlzén, H., & Hallberg, J. (2015). A Meta-Analysis of Studies. International Journal of Information Security and Privacy, 9(1), 26-46.
- Wetzer, I. (2022). Onderzoek naar de human factor in informatiebeveiliging. Amsterdam: Secura.