Αργύρης Μακρυγεώργου
Operations Director
Cyber Noesis – www.cybernoesis.com
Πως έχουν τα πράγματα…
Οι επιχειρήσεις και οι οργανισμοί συνεχώς ενισχύουν τα μέτρα ασφάλειας με νέες τεχνολογίες προκειμένου να δημιουργήσουν ένα ασφαλές οικοσύστημα, επένδυση χρόνου και χρημάτων που μπορεί εύκολα να υπονομευθεί πλήρως εάν οι εργαζόμενοι δεν κατανοήσουν το δικό τους σημαντικό ρόλο στο σχέδιο ασφάλειας και προστασίας του εκάστοτε οργανισμού.
Η πλειοψηφία των πρόσφατων μελετών δείχνει, άλλωστε, ότι πάνω από το 90 τοις εκατό των παραβιάσεων της ασφάλειας στον κυβερνοχώρο οφείλονται, στην πραγματικότητα, σε ανθρώπινο/η λάθος/αμέλεια . Το «άνθρωπος είναι, λάθη κάνει» όσο comforting και αν έχουμε συνηθίσει να το θεωρούμε, στις περιπτώσεις του σύγχρονου επιχειρείν μπορεί να / και έχει αποβεί καταστροφικό.
O Χρήστης, λοιπόν, ανεξαρτήτως του ψυχογραφήματός του, νευρωσικός, εξωστρεφής, δεκτικός, ευσυνείδητος, κλπ., μπορεί να θέσει σε κίνδυνο την ασφάλεια του οργανισμού ή/και του προσωπικού του ψηφιακού γίγνεσθαι, ακόμη και εν αγνοία του.
Αναρωτιέστε πώς;
- Χρησιμοποιώντας κοινό κωδικό πρόσβασης σε παραπάνω από ένα συστήματα.
- Αποθηκεύοντας τους κωδικούς πρόσβασης σε ένα απλό αρχείο ή ακόμη και σημειώνοντάς τους σε κάποιο post it.
- Απομακρυνόμενος από το γραφείο, αφήνοντας, εν παραλλήλω, τον υπολογιστή ξεκλείδωτο.
- Κάνοντας κλικ σε συνδέσμους που λαμβάνει μέσω email δίχως να αναρωτιέται αν είναι έγκυροι.
- Παρατηρώντας μια δυσλειτουργία στο σύστημα που εργάζεται, η οποία δεν τον προβληματίζει συνεπώς δεν την επικοινωνεί.
- Διαμοιράζοντας εσωτερικές πληροφορίες δίχως πραγματική επιβεβαίωση της ταυτότητας του συνομιλητή.
Όλα τα παραπάνω αποτελούν, δυστυχώς, μερικά απλά, καθημερινά παραδείγματα. Ωστόσο, με σωστή εκπαίδευση, οι εργαζόμενοι μπορούν να μεταλλαχθούν στην ισχυρότερη γραμμή άμυνας ενός οργανισμού, το λεγόμενο «human firewall».
Υπάρχει λύση…
Ένα πρόγραμμα ευαισθητοποίησης χρηστών σχετικά με την Ασφάλεια Πληροφοριών επιτρέπει στους οργανισμούς να βελτιώσουν τη στάση ασφάλειάς τους, προσφέροντας στους υπαλλήλους τις γνώσεις που χρειάζονται για την καλύτερη προστασία των πληροφοριών του οργανισμού ή και προσωπικών τους, μέσω προληπτικής συμπεριφοράς, με συνείδηση στην ασφάλεια. Για την επιτυχή προστασία των πληροφοριακών αγαθών, ο κάθε Χρήστης χρειάζεται μια βασική κατανόηση τόσο των πολιτικών ασφάλειας, όσο και των αντίστοιχων ευθυνών τους.
Για να είναι αποτελεσματικό, ένα πρόγραμμα ευαισθητοποίησης ασφάλειας πληροφοριών πρέπει να βρίσκεται in sync με τις τελευταίες εξελίξεις και να περιλαμβάνει συνεχής εκπαίδευση, χρήση σωστών επικοινωνιακών μέσων, καθώς και στοχευμένο περιεχόμενο. Μια εφάπαξ παρουσίαση, ένα γενικό περιεχόμενο ή ένα στατικό σύνολο δραστηριοτήτων δεν επαρκούν για την αντιμετώπιση των συνεχώς εξελισσόμενων απειλών κυβερνοασφάλειας, ούτε για τη δημιουργία κουλτούρας ασφάλειας.
Τα βασικά μηνύματα, το εκπαιδευτικό υλικό, ο τόνος και η συνολική προσέγγιση, πρέπει να σχετίζονται με το κοινό και να συνάδουν με τις αξίες και τους στόχους του οργανισμού. Εξίσου σημαντικό, ένα πρόγραμμα ευαισθητοποίησης πρέπει να επηρεάζει την αλλαγή συμπεριφοράς και να αποφέρει μετρήσιμα οφέλη.
«Σε τι επίπεδο βρίσκομαι…?»
Ένα από τα σημαντικά βήματα για τη δημιουργία ενός αποτελεσματικού προγράμματος και μιας στρατηγικής ευαισθητοποίησης είναι η αξιολόγηση του υφιστάμενου επιπέδου ευαισθητοποίησης του προσωπικού. Οι οργανισμοί πρέπει να αξιολογήσουν την τρέχουσα κατάστασή τους και να προσδιορίσουν τις ιδιαίτερες ανάγκες που πρέπει να αντιμετωπιστούν.
Μία γρήγορη ματιά θα μπορούσε να εξαχθεί απαντώντας, με ειλικρίνεια (!), στα εξής:
- Υπάρχει πολιτική ασφάλειας που επιβάλλεται σε ολόκληρο τον οργανισμό;
- Γνωρίζουν οι εργαζόμενοι την πολιτική αυτή;
- Ποιες είναι οι πρακτικές και οι τεχνολογίες που εφαρμόζονται για την αντιμετώπιση ενός περιστατικού παραβίασης ασφάλειας πληροφοριών;
- Γνωρίζουν οι εργαζόμενοι τι μπορεί να θεωρηθεί ως περιστατικό ασφάλειας;
- Σε περίπτωση που υποπέσει στην αντίληψή τους κάποιο περιστατικό ασφάλειας πληροφοριών γνωρίζουν πως πρέπει να ενεργήσουν;
Η απάντηση στις παραπάνω απλές ερωτήσεις μπορεί να βοηθήσει τους οργανισμούς να καθορίσουν μερικούς από τους κύριους στόχους του προγράμματος ευαισθητοποίησης, οι οποίοι είναι σημαντικό να ευθυγραμμίζονται με τους στόχους του οργανισμού.
Η ομάδα δημιουργίας ενός αποτελεσματικού προγράμματος αποτελείται από ένα ευρύ φάσμα τμημάτων, συμπεριλαμβανομένων του ΙΤ, της Φυσικής Ασφάλειας, του Ανθρώπινου Δυναμικού, του Μάρκετινγκ και των Εσωτερικών Επικοινωνιών. Έχοντας στοιχεία από αυτές τις πηγές του οργανισμού μπορεί να παραχθεί ένα πλήρες πρόγραμμα για το σύνολο των εργαζομένων της εταιρείας.
Το υλικό…
Το βασικότερο συστατικό του προγράμματος ευαισθητοποίησης είναι το εκπαιδευτικό υλικό. Χωρίς την χρήση σωστού υλικού και περιεχομένου, όλα τα παραπάνω που προσπαθούμε να οικοδομήσουμε, θα γκρεμιστούν. Πως θα εκπαιδεύαμε τα παιδιά μας, για παράδειγμα; Θα τα αφήναμε να ενημερωθούν πχ. για τη χρήση ναρκωτικών, βλέποντας ένα γενικό βίντεο στο YouTube ή θα προσπαθούσαμε να συζητήσουμε μαζί τους και να αφιερώσουμε λίγο χρόνο παραπάνω, ώστε να κατανοήσουν τους κινδύνους;
Οι εργαζόμενοι πρέπει να κατανοήσουν ξεκάθαρα τον ρόλο τους όπως αυτός σχετίζεται με κάθε πολιτική ασφάλειας. Μόνο εάν οι εργαζόμενοι κατανοήσουν τη σημασία του ρόλου τους στη διατήρηση της ασφάλειας των αγαθών του οργανισμού, υπάρχει πραγματική ελπίδα να αλλάξουν τη συμπεριφορά τους και να σκεφτούν, για παράδειγμα, καλύτερα, πριν ανοίξουν ένα αμφισβητήσιμο email ή/και ένα συνημμένο αρχείο.
Η επιτυχία του προγράμματος εξαρτάται, επιπλέον, σε μεγάλο βαθμό και από τον τρόπο που παραδίδονται οι πληροφορίες. Ένα πλήρες και ώριμο πρόγραμμα οφείλει να απαρτίζεται από ποικίλες εκπαιδευτικές τεχνικές (παρουσιάσεις, βίντεο, κινήσεις, διαδραστικό περιεχόμενο, σενάριο, ιστορίες, παιχνίδια, κουίζ κοκ) με σκοπό να δημιουργηθεί για το κοινό ένα ευχάριστο περιβάλλον εκπαίδευσης. Τέλος, μην ξεχνάμε πως μια καλή μέθοδος ενίσχυσης των όσων έχουμε μάθει είναι οι ανταμοιβές και τα θετικά σχόλια.
The Cyber Noesis way…
Η Cyber Noesis έχει δημιουργήσει μια ολοκληρωμένη πλατφόρμα ευαισθητοποίησης, υπό την ονομασία “isAWARE”, η οποία φιλοξενείται σε ένα ασφαλές Cloud περιβάλλον και αποτελείται από δύο καινοτόμα Συστήματα:
- το Σύστημα Διαχείρισης Εκστρατειών Ηλεκτρονικού Ψαρέματος (Phishing Campaign Management Platform –PCMS), και
- το Σύστημα Διαχείρισης Μάθησης (Learning Management System -LMS).
Στόχος της πλατφόρμας “isAWARE” είναι η αποτελεσματική κατάρτιση των χρηστών σχετικά με τα κρίσιμα ζητήματα της Ασφάλειας Πληροφοριών και της Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέσω της διεξαγωγής ασύγχρονων εκπαιδευτικών προγραμμάτων και της εκτέλεσης εκστρατειών ηλεκτρονικού ψαρέματος.
Μείζονος σημασίας, και ειδοποιός διαφορά έναντι του εγχώριου και διεθνούς ανταγωνισμού, αποτελεί το γεγονός ότι η πλατφόρμα υποστηρίζεται, όχι μόνο στην δημιουργία του περιεχομένου αλλά και στην διεξαγωγή των απαιτούμενων δράσεων, από εξειδικευμένη Ομάδα της Cyber Noesis στους τομείς της ασφάλειας, της εκπαίδευσης και ευαισθητοποίησης χρηστών.
Επαναλάβετε παρακαλώ μαζί με εμένα: «H ευαισθητοποίηση του προσωπικού είναι μια συνεχής διαδικασία και απαιτεί τον καθορισμό μιας συγκροτημένης στρατηγικής»