Skuteczna edukacja, czyli Kultura Bezpieczeństwa w organizacji
Dlaczego standardowe szkolenia się nie sprawdzają i warto postawić na edukację, dzięki której pracownicy staną się pierwszą i skuteczną linią obrony firmowych zasobów.
Przyszedł wrzesień i jak co roku zaczyna się szkoła. A kiedy myślimy o szkole, to gdzieś kołacze się po głowie: jak dobrze, że mam to już za sobą. Ale czy rzeczywiście mamy to za sobą? W dobie ciągłych zmian w organizacjach, wymuszanych regulacjami prawnymi, politykami wewnętrznymi, modelami biznesowymi, sposobem komunikacji oraz „obecności” w życiu firmowym, uzupełnianie wiedzy lub zdobywanie nowej stało się naszą codziennością. Są obszary, w których podnoszenie kwalifikacji jest dobrze ustrukturalizowane i zakorzenione w wielu organizacjach. Są też jednak i takie, jak bezpieczeństwo cybernetyczne i bezpieczeństwo danych, gdzie dopiero ostatnie przykłady z życia pokazują, jak ważne jest wyrobienie sobie właściwych nawyków w zakresie naszych działań w sieci, czyli Kultury Bezpieczeństwa.
Nawyk to według definicji nabyta skłonność do sprawniejszego, bardziej mechanicznego wykonywania jakiejś czynności1. Skoro nabyta, to jak to zrobić skutecznie, zwłaszcza w obszarze bezpieczeństwa cybernetycznego? Jeśli chodzi o obsługę komputera, wyrobiliśmy sobie pewne nawyki i nawet się nad nimi nie zastanawiamy. Dobrze wiemy, jak szukać informacji w Internecie, jak obsługiwać pocztę, zarówno tę prywatną, jak i służbową. I tu właśnie jest clou problemu. Pracując w bezpiecznym środowisku, jakim zawsze były i są sieci firmowe oparte na zabezpieczonej infrastrukturze, mającej wszystkie niezbędne komponenty: Firewalle, WAF-y, SEG-i, VPN-y, szyfrowania i inne środki, o których przeciętny użytkownik systemów firmowych nie ma bladego pojęcia, wyrobiliśmy sobie pewne nawyki. Jest więc rzeczą oczywistą, że gdy otrzymujemy korespondencję, nie weryfikujemy nadawcy, nie przyglądamy się, z jakiej domeny przyszedł do nas mail, po prostu czytamy i działamy jak zawsze. Czyli przenieśliśmy nasze nawyki wypracowane w dobrze zabezpieczonej organizacji do naszego życia prywatnego. Tu oczywiście podniosą się głosy tych, którzy nie zaliczają się do tzw. przeciętnych użytkowników, że oni są doświadczeni i na takie proste schematy się nie dadzą złapać. I pewnie byłoby w tym dużo racji, gdyby nie to, że wzrost przestępstw z użyciem metod inżynierii społecznej stał się faktem i od kilku lat jest głównym zagrożeniem dla przedsiębiorstw.
Dostrzegając zagrożenie i identyfikując słabe ogniwa, doszliśmy w T-Systems do przekonania, że inwestycje w infrastrukturę bezpieczeństwa są konieczne i niezbędne. Ale jednocześnie musi temu towarzyszyć działanie komplementarne w postaci budowania właściwych nawyków wśród naszych pracowników i pracowników naszych kooperantów, czyli budowania Kultury Bezpieczeństwa.
Dlatego budując strategię bezpieczeństwa w firmie, trzeba uwzględnić również aspekt ludzki. Należy przygotować nie tylko środki i zasoby na implementację twardej infrastruktury cyberbezpieczeństwa, ale również zasoby na rozwój naszych pracowników w zakresie bezpieczeństwa cybernetycznego. Wiedząc, że systemy filtrujące pocztę mają średnio failure rate na poziomie 7-10%, co oznacza, że nie potrafią nas w pełni ochronić. Kluczowe staje się uświadomienie sobie, że człowiek jest z jednej strony najbardziej narażonym na atak naszym „assetem” w ramach ekosystemu bezpieczeństwa firmy, a z drugiej może być pierwszą, bardzo skuteczną linią obrony naszych firmowych zasobów. Po prostu wyposażając pracowników w wiedzę i ugruntowując dobre nawyki, mamy szanse na zmniejszenie zagrożenia naszych organizacji. W tej sytuacji oczywiście wszystkim przychodzi na myśl: zróbmy szkolenie, przeszkolmy wszystkich i będziemy mieli problem rozwiązany. Podejście łatwe do zastosowania, pewnie całkiem niedrogie, ale zupełnie nieadresujące problemu związanego z ochroną danych, bezpieczeństwem organizacji i wyrobieniem właściwych nawyków, czyli podnoszeniem Kultury Bezpieczeństwa. Edukacja pracowników, której efektem ma być ugruntowana zmiana zachowań, jest procesem długim i wymagającym odpowiedniego metodycznego podejścia. Osiągnięcie tego celu jest możliwe wtedy, gdy wdrażany program jest dopasowany do możliwości absorbcji przez organizację oraz jest na bieżąco monitorowany, a efekty działania programu systematycznie mierzone. Dlatego w ramach naszego programu Security Awareness skupiamy się na regularnym dostarczaniu wiedzy oraz weryfikacji stopnia jej opanowania poprzez regularne testy. Budowanie Kultury Bezpieczeństwa w organizacji w ten sposób ma zasadniczą przewagę nad pojedynczym szkoleniem, bo prowadzi do trwałej zmiany w zachowaniu pracowników, co jest nadrzędnym celem programu. Opracowujemy i budujemy ścieżki szkoleniowe dedykowane dla grup odbiorców z uwzględnieniem ich specyfiki pracy oraz ryzyk, jakie na nich czyhają, biorąc pod uwagę wykonywane przez nich zadania. Niewątpliwą zaletą programu jest również możliwość elastycznej modyfikacji ścieżek szkoleniowych, a zarówno zakres szkoleniowy, jak i częstotliwość szkoleń są indywidualnie dobierane do potrzeb i możliwości Państwa organizacji. Co ważne, program Security Awareness nie stanowi dodatkowego obciążenia dla osób nim objętych, bo jest wkomponowany w realizację zadań Państwa pracowników. Wszystkie materiały szkoleniowe są w przystępnej i użytecznej formie, a pojedyncze szkolenie zajmuje zaledwie 3-10 minut, co pozwala pracownikom łatwo zarządzać czasem pracy, bez uszczerbku dla podstawowych zadań. Uzupełnieniem ścieżek szkoleniowych są biuletyny, które wskazują na ostrzeżenia dotyczące najnowszych zagrożeń i zestawy dobrych praktyk związanych z bezpieczeństwem.
Odpowiednio przeszkoleni i wytrenowani pracownicy stanowiący pierwszy element bezpieczeństwa organizacji mogą redukować liczbę incydentów bezpieczeństwa nawet o ponad 50%. Inwestycja ta w połączeniu ze środkami technicznymi i procedurami pozwala na znaczące podniesienie poziomu dojrzałości bezpieczeństwa całej organizacji.
Mirosław Jędrych
Cyber Security Advisory Team Leader
T-Systems Polska
1Na podstawie Słownika języka polskiego pod red. W. Doroszewskiego
Data publikacji: 22.09.2021