Czy szkolenia pracowników poprawiają poziom bezpieczeństwa
W obliczu wiecznie rosnącej liczby zagrożeń wiele firm decyduje się na przeprowadzenie wśród pracowników akcji edukacyjnej, mającej pomóc im w zachowaniu większego poziomu bezpieczeństwa w Internecie. Niektóre firmy taką decyzję podejmują zanim jeszcze dojdzie do poważnego incydentu, inne zauważają konieczność szkoleń dopiero, gdy na skutek błędu pracownika firma traci pieniądze a czasem także ważne dane firmowe. Okazuje się jednak, że nawet po przeszkoleniu pracowników dochodzi do incydentów. Czy oznacza to zatem, że edukowanie użytkowników nie ma sensu czy może istnieje inny powód, dla którego mimo wszystko nie zachowują oni właściwego poziomu bezpieczeństwa w Internecie?
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Użytkownik kluczowym elementem układanki
Charakterystyka najpopularniejszych rodzajów ataków spotykanych dzisiaj w sieci jednoznacznie wskazuje, że to właśnie użytkownik komputera stanowi najsłabszy element systemu bezpieczeństwa. Czasy, gdy celem ataku były głównie podatności w systemach IT, bezpowrotnie minęły. Wobec znacznej poprawy jakości oprogramowania i powstania licznych mechanizmów bezpieczeństwa eliminujących proste i łatwe wektory ataku, przestępcy musieli znaleźć nowe sposoby przełamywania firmowych zabezpieczeń. Rozwiązaniem okazało się wykorzystanie słabości ludzkiej natury – chęci zarobienia „łatwych” pieniędzy, ciekawości, strachu, nieuwagi czy nawet lekkomyślności. Zamiast spędzać godziny na bezowocnych próbach przełamania zabezpieczeń firmowego firewalla złodzieje wolą przygotować wiarygodnie wyglądającą wiadomość poczty elektronicznej i wysłać ją do wybranych pracowników, by przekonać ich do uruchomienia złośliwego załącznika. To firmowi pracownicy są dzisiaj punktami styku z Internetem i to oni często mają szansę jako pierwsi zauważyć i zgłosić próby ataków. Warto zadbać zatem o to, by osoby zatrudnione w organizacji dysponowały przynajmniej podstawową wiedzą na temat rodzajów ataków, na które mogą natknąć się w sieci podczas wykonywania swoich codziennych obowiązków zawodowych. Należy też pamiętać, że potencjalnym celem ataku przestępców może być dowolny pracownik firmy – zatem szkoleniami należy objąć wszystkich użytkowników komputerów czy firmowej poczty.
Jedno szkolenie nie wystarczy
Sytuacje, w których pracownik jakiś czas po odbyciu szkolenia z bezpieczeństwa w sieci ponownie infekuje swój komputer złośliwym oprogramowaniem nie należą do rzadkości. Czy oznacza to, że taka osoba została źle przeszkolona lub niewystarczająco uważała w trakcie szkolenia? Niekoniecznie. Warto pamiętać, że pracownicy muszą posiadać bardzo zróżnicowane umiejętności i często odbywają wiele różnych szkoleń, a edukacja w obszarze bezpieczeństwa bywa traktowana bardziej jako konieczność niż faktyczny priorytet firmowych działań szkoleniowych. Trudno się zatem dziwić, że pracownik, obarczony wieloma różnymi obowiązkami i działający pod presją czasu, zapomina o wskazówkach, które usłyszał w trakcie szkolenia i nadal popełnia błędy po jego ukończeniu. W praktyce nie zdarza się, że jedno szkolenie rozwiązuje problem – często firmy zauważają wymierne efekty dopiero po wdrożeniu kompleksowego programu edukacyjnego.
Edukacja to nie tylko szkolenia
Organizacja jednorazowego szkolenia jest dość prostym zadaniem, zatem często od takiego wydarzenia firma zaczyna swoją przygodę z edukacją w obszarze bezpieczeństwa w sieci. Warto jednak pamiętać, że spotkanie z właściwym szkoleniowcem to tylko jeden z wielu możliwych elementów większego programu edukacyjnego. Możliwości jego rozbudowy jest wiele. Do najciekawszych należą między innymi testy phishingowe, w trakcie których pracownicy otrzymują wiadomości odwzorowujące faktyczne ataki, lecz sam atak przeprowadzany jest przez wynajętą firmę lub wewnętrzny dział bezpieczeństwa IT. Takie działanie pomaga zmierzyć skalę problemu świadomości bezpieczeństwa wewnątrz organizacji.
Popularne stają się także programy regularnych szkoleń opartych o platformę e-learningową. Materiały edukacyjne w formie krótkich filmów, quizów czy poradników pomagają pracownikom odświeżać wiedzę w regularnych odstępach czasu. Dobrym uzupełnieniem takich działań są plakaty, ulotki, konkursy dla pracowników, organizowany raz w roku tydzień bezpieczeństwa czy prowadzona w ciekawy sposób strona działu bezpieczeństwa IT, na której pracownicy mogą znaleźć np. porady dotyczące tego, jak być bezpiecznym w sieci nie tylko w pracy, ale także w życiu prywatnym. Umiejętności wyniesione ze szkoleń mogą być dodatkową korzyścią dla pracownika, który nie tylko zyska wiedzę o zabezpieczeniu swoich prywatnych informacji, ale także może przekazać ją swoim bliskim.
Edukacja pracowników nie może być wyłącznie zadaniem dla trenerów wewnętrznych. Choć ich perspektywa i doświadczenie w pracy z uczestnikami szkoleń są bardzo ważne, to spojrzenie zewnętrznego dostawcy i jego umiejętności także mogą wiele wnieść do procesów edukacji. Warto także od czasu do czasu zmieniać dostawców tego rodzaju usług, by różnicować doświadczenia słuchaczy.
Sama edukacja nie pomoże
Nawet najlepiej zaplanowany i wdrożony program edukacyjny nie wyeliminuje błędów pracowników. Ludzka natura pozostaje niezmienna i zadaniem edukacji jest zmniejszenie prawdopodobieństwa wystąpienia incydentów bezpieczeństwa spowodowanych przez błędne decyzje pracowników. Niezbędnym uzupełnieniem programów edukacyjnych są rozwiązania techniczne utrudniające przestępcom dotarcie do ich ofiar. Każdy system czy urządzenie eliminujące automatycznie cyberzagrożenia lub ograniczające możliwość ich wystąpienia obniża ryzyko, na jakie wystawiona jest organizacja.
Podsumowanie
Planując działania edukacyjne w obszarze bezpieczeństwa w sieci warto mieć na uwadze poniższe wskazówki:
- Edukacja pracowników jest dzisiaj niezbędna, lecz same szkolenia nie wystarczą do powstrzymania cyberprzestępców
- Program edukacyjny musi być połączony z wdrożeniem odpowiednich zabezpieczeń technicznych
- Jednorazowe szkolenie nie zmieni istotnie poziomu świadomości pracowników o zasadach zachowania bezpieczeństwa w sieci
- Najbardziej efektywne są długofalowe programy edukacyjne zbudowane z wielu zróżnicowanych elementów
Data publikacji: 08.05.2019