A hálózatüzemeltetők tűzfalakkal védekeznek, amivel bonyolult szabályrendszer alapján próbálják megvédeni a cégen belüli kiszolgálókat. A felhasználók eszközeire végponti védelmi megoldásokat telepítenek az eszköz megfelelő védelme és a káros alkalmazások feltelepülése ellen. De vajon mit ér ez a védelem, ha a felhasználók nincsenek tisztában az alapvető fogalmakkal, a biztonsági szabályokat megszegve mégis rákattintanak egy célzott támadással érkező hivatkozásra, és kiadják a hitelesítési adataikat?
A "zero trust", vagy magyarul "zéró bizalom" elve eredetileg azt jelenti, hogy ha egy rendszer kompromittálódik, akkor ne csak a támadó ne férhessen hozzá az adatokhoz, hanem a rendszer üzemszerű működése során maga a szolgáltató sem fér hozzá a tárolt adatokhoz.
Azonban a zéró bizalom fogalmát érdemes lehet kiterjeszteni a felhasználókra is. Biztosak lehetünk abban, hogy a felhasználó a megfelelő módon fog eljárni egy támadás során? Biztosak lehetünk abban, hogy a felhasználó felismeri az ellene irányuló megtévesztésen alapuló támadást? Biztosak lehetünk abban, hogy végül nem fogja a vállalati bejelentkezési oldalra tökéletesen emlékeztető oldalon megadni a hitelesítési adatait? És végül biztosak lehetünk abban, hogy nem fogja egy beígért ajándékért vagy jutalomért ezt akkor is megtenni, ha egyébként tudatosabb felhasználóról van szó? Ha ezekre a kérdésekre nem tudunk egyértelműen igent mondani, akkor a zéró bizalom a felhasználókkal szemben is fennáll.
Sosem késő megpróbálni ezen változtatni. Ha többet költünk a felhasználók oktatására, vagy gyakrabban tartunk olyan workshopokat, ahol a felhasználók megtörtént eseteket dolgoznak fel, akkor ezzel nagyobb mértékben járulhatunk hozzá a vállalati biztonsághoz, mintha szoftvermegoldásokra és azt azt üzemeltető személyekre költünk. A szoftveres védelem sohasem lesz teljes körű, a támadók mindig egy lépéssel előrébb járnak. A felhasználók tudatosítása viszont segíthet az előre nem látott támadások elleni védekezéssel szemben is. Az élet más területeihez hasonlóan itt is igaz az, hogy ha valami túl szép, akkor az igaz nem lehet. Senki sem fog fizetésemelést kapni egy hivatkozásra történő kattintásért, és a levél mellékletében érkező csatolt fájlban nem az alkalmazottak bérjegyzéke és bónuszai lesznek.
Ez a cikk szándékosan íródott többes szám első személyben. Ez a cikk az informatikai vezetőknek szól. A mi döntésünkön múlik, hogy a felhasználók milyen belső képzéseken vesznek részt, mennyi pénzt vagyunk hajlandóak áldozni erre az amúgy is szűkös informatikai keretből, és milyen rendszerességgel végzünk belső, IT-biztonsági képzéseket.
Ugyanakkor a felső vezetésnek is át kell gondolnia az üzleti folyamatok digitalizálást. A digitalizálás nem a hagyományos üzleti folyamatok böngészőbe történő átültetéséről szól, hanem a meglévő üzleti folyamatok teljes újragondolásáról a választott megoldás által támogatott módon. A folyamatok tervezésénél elsődlegesen a biztonságra kell összpontosítani.
Az OTRS ehhez nyújt támogatást. Már elérhetők azok az OTRS megoldások, amelyek előre meghatározott felhasználási esetekhez készült, a legjobb gyakorlatok szerint átgondolt, előre beállított konfigurációval érkeznek. Ezeket a megoldásokat nagyon rövid idő alatt üzembe lehet állítani.
Akár egy tiszta telepítést, akár egy előre beállított megoldást választanak, mindkettőben elérhető az üzleti folyamatok digitalizálását segítő folyamatkezelés-modul. A folyamatok segítségével a felhasználók egy előre meghatározott forgatókönyv szerint vihetik előre az ügyeket, ami növeli a biztonságot azáltal, hogy a folyamattól eltérni nem lehet. A felhasználókban ez a fajta tudatosítás és az IT-biztonsági oktatások eredményeként megszerzett tudás egyértelmű iránymutatást nyújt azzal kapcsolatban, hogy az előre meghatározott folyamattól eltérő viselkedés nem az elvárt viselkedés, hanem valószínűleg valaki támadó szándékkal próbál beavatkozni. A megszokott viselkedésben az ilyen eltérések még a kevésbé tudatos felhasználóknak is megálljt parancsolhatnak.
Ezenkívül a folyamat minden lépéséhez lehetőség van rövid magyarázó szövegeket is rendelni, amely minden alkalommal megjelenik a felületen, ha a folyamat az adott lépésnél tart. A magyarázó szövegek megfelelő megválasztása szintén hozzájárul a biztonsághoz, azáltal hogy állandó mérlegelésre készteti a felhasználót a jó és rossz döntések mérlegelésében.
