Három tanács a vállalati biztonsági oktatáshoz

Annak érdekében, hogy csökkentsék a belső fenyegetést, a szervezeteknek rendszeresen tovább kell képezniük alkalmazottaikat a legfrissebb támadási módszerekkel és veszélyekkel kapcsolatban. Ehhez ad néhány tanácsot a téma egyik hazai szakértője, a NetIQ Novell SUSE Magyarországi Képviselet. [b]1. Terjesszük ki a felelősséget![/b] Az oktatás során meg kell változtatni az alkalmazottak gondolkodásmódját a kiberbiztonságról. Nem szabad, hogy egyedül a biztonsági vagy az informatikai csapat feladatának tartsák a vállalat védelmét a kibertámadásoktól. Hiszen hiába építenek ki erős védvonalat az IT-szakemberek a cégben, ha az alkalmazottak nincsenek tisztában azzal, milyen komoly károkat okozhatnak a szabályok figyelmen kívül hagyásával. Minden munkatársnak fel kell mérnie és meg kell értenie, milyen felelőssége van abban, hogy a vállalat biztonságban legyen. A kiberbűnözők sok esetben építenek a vállalati alkalmazottak tájékozatlanságára, például az adathalász kísérletek során. Amikor az ilyen levelek felismerésére oktatjuk az alkalmazottakat, mindenképpen ki kell térnünk arra is, mekkora károkat okozhatnak a vállalatnak azzal, ha bedőlnek az átverésnek. Érzékeltetnünk kell velük, milyen felelősséggel járhat akár minden egyes kattintás. [b]2. Tartsunk rendszeres oktatásokat! [/b]Egyszeri tájékoztatás nem elég, hiszen az információ feledésbe merülhet, ráadásul folyton új veszélyek és támadási módszerek jelennek meg, amelyekről a lehető leghamarabb informálni kell minden munkatársat, aki potenciális célpont lehet. Márpedig napjainkban ez minden olyan munkatársra igaz, aki internetkapcsolatot használ. Emellett az is fontos, hogy a kiberbiztonsághoz kapcsolódó információkat könnyen elérhetővé és jól kereshetővé tegyük az alkalmazottak számára, hogy egy-egy kérdéses esetben maguk is egyszerűen utánanézhessenek, vajon potenciális veszéllyel állnak-e szemben egy-egy szituációban. Hiába költ vagyonokat a szervezet védelmi és megelőző szoftverekre, ha az alkalmazottak nem tudják azokat megfelelően használni, illetve nincsenek tisztában az alapvető biztonsági szabályokkal és felelősségekkel. Az alkalmazottak tudása ezen a téren is hatalom, csak ezzel együtt teljes a védelem. [b]3. Csökkentsük az alvállalkozókhoz kapcsolódó kockázatokat! [/b]A teljes munkaidős alkalmazottak oktatása nem elég. Komoly kockázatot jelenthetnek azok a partnerek, beszállítók, alvállalkozók is, akik hozzáférnek az IT hálózathoz. Az egyik nagy amerikai boltlánc ellen például úgy indítottak támadást két éve, hogy a hűtő- és fűtőrendszert karbantartó vállalat belépési adatait lopták el. Az alvállalkozót egy malware e-mail segítségével támadták meg két hónappal azelőtt, hogy a támadók elkezdték volna összegyűjteni és ellopni az áruházlánc vásárlóinak hitelkártyaadatait. Mivel hozzáféréssel rendelkeznek a vállalat érzékeny adataihoz, fontos, hogy az alvállalkozók is részesüljenek a kiberbiztonsági oktatásban. Ha a vállalat olyan partnerrel dolgozik, amelynél nincs hasonló képzés házon belül, akkor gondoskodni kell arról, hogy csak megfelelő tájékoztatás után kapja meg az alvállalkozó a hozzáférést a hálózathoz, adatokhoz és erőforrásokhoz. Ezzel egyidejűleg az adott szervezetnek arra is figyelmet kell fordítani, hogy a saját informatikai munkatársait megfelelően képezze az alvállalkozói hozzáférések kezelésére és figyelésére, illetve a partnernél felmerülő esetleges hibák felismerésére. A fent említett példánál a hűtő- és fűtőrendszer karbantartója egy ingyenes, lakossági felhasználóknak szánt anti-malware szoftvert használt a vállalati szintű védelmet garantáló, teljes licenc helyett, ami a jelek szerint nem volt elégséges.