Funkcionisanje poslovne organizacije bazirano je na umreženim sistemima, te se javljaju imanentne posledice u vidu poteškoća u oblasti bezbednosti informacija, a samim tim i poslovanja – očuvanja poverljivosti, integriteta i lake dostupnosti podataka bez efikasnog i pouzdanog programa obuke. Prema izveštaju kompanije Kasperski Lab, više od 46 procenata incidenata u sajber bezbednosti nastaje usled ljudskog faktora, a preduzeća trpe višemilionske gubitke usled neadekvatnih poteza zaposlenih. Na primer, neinformisani zaposleni mogu naštetiti sigurnoj mreži odgovaranjem na lažne email poruke, posećivanjem veb stranica zaraženih programom zlonamernog softvera ili čuvanjem osetljivih podataka kompanije na nebezbednom mestu.
Da bi se sprečili incidenti u vezi sa zaposlenima, organizacije moraju sprovesti održiv program obuke o bezbednosti. Idealan program treba da sadrži sledeće komponente:
- Politika čistog stola
Osetljive informacije veoma često se nalaze na radnom stolu, a među njima mogu biti pristupne šifre na stikerima ili drugi relevantni podaci od značaja za poslovanje, a koji su na takav – transparentan način izloženi trećim starnama (klijentima, zaposlenima na drugim radnim pozicijama) čime se neminovno ugrožava tok poslovanja i ishoda određenih aktivnosti. Preporuka je da se na stolu nalazi isključivo onaj paprir koji je bitan za obavljanje aktuelanih zadataka – trenutni projekat na kome se radi i slično. Sve osetljive i poverljive informacije treba ukloniti sa stola na kraju svakog radnog dana, za vreme pauze, ili hitnog odlaska iz kancelarije u toku radnog vremena. Sve bitne informacije treba da budu zaključane u fioci radnog stola ili na posebno određenom mestu upravo za te svrhe.
- Pravila korišćenja ličnih uređaja
Zaposleni su veoma često u mogućnosti da na radnom mestu ponesu i koriste svoje personalne uređaje od mobilnih telefona, preko tableta, audio plejera, digitalnih fotoaparata i raznih drugih prenosivih elektronskih uređaja koji bi se, između ostalog mogli zloupotrebiti, odnosno koristiti za krađu osetljivih podataka.
Kako taj problem rešiti?
Imajući u vidu da je digitalizacija sveprisutna i deo svakodnevnice, i da zaposlenima ne možete zabarniti apsolutno sve, organizacije treba da naprave listu prihvatljivih i zabranjenih uređaja. Osoblje obezbeđenja mora da proveri da li se svaki personalni uređaj nalazi na prihvatljivoj listi; sve ostale treba zabraniti. To se postiže definisanjem i primenom proaktivnog programa obuke o sigurnosti koji ukuljučuje navedenu meru. Pored samih uređaja trebalo bi navesti i dozvoljene aplikacije na njima. Mnoge besplatne mobilne aplikacije su nesigurne. Izveštaj McAfee takođe je napomenuo da kampanje od zlonamernog softvera ciljaju korisnike na Google Play prodavnici. Stoga bi organizacije trebalo da pruže obuku zaposlenima o zaraženim i nezaraznim aplikacijama i podstaknu ih da koriste samo one aplikacije koje su dostupne na listi dozvoljenih.
Svi zaposleni trebaju biti svesni činjenice da se njihovi uređaji neprestano nadgledaju i da se svaka zlonamerna aktivnost može detektovati i alarmirati menadzerima bezbednosti.
Politika korišćenja personalnih uteđaja treba da propisuje procedure koje će bliže oderditi uslove korišćenja, kao i šifrovanje istih za zaštitu osetljivih podataka u slučaju krađe ili oštećenja. Pored toga, svaki uređaj treba da bude ažuriran najnovijim antivirusnim programom.
- Upravljanje podacima
Postoje brojne vrste podataka (na primer rezervna kopija ugovora o kupcima, izjave itd), a većina zaposlenih često nema svest o značaju pojedinih dokumenata i postupaka zaštite istih. Nisu svi podaci podjadnako važni i zaposleni treba da znaju koji podaci imaju prioritet i na kom nivou treba da budu skladišteni i čuvani. Takođe treba da budu upoznati sa poslovnom tajnom kompanije i da prave razliku važnosti i zaštite podataka koji predstavljaju poslovnu tajnu od onih koji to nisu, ali su bitni za poslovanje i ne treba da budu na dohvat ruke nekom drugom licu. Zaposleni bi trebalo da nauče vrste podataka kako bi mogli da razumeju kritičnost svog poslovanja.
- Bezbedno korišćenje interneta
Skoro svako zaposleno lice, na bilo kojoj radnoj poziciji, ima pristup internetu. Iz ovog razloga je bezbedno korišćenje Interneta od presudnog značaja za kompanije. Programi obuke o bezbednosti treba da sadrže sigurne navike na Internetu koje sprečavaju napadače da prodru u korporativnu mrežu. U prilog tome, zaposleni moraju biti upoznati sa svim opasnostima socijalnog inženjeringa.
- Fizička sigurnost
Svest o korporativnoj i ličnoj bezbednosti nije samo svest o tome šta se nalazi u računarima. Zaposleni moraju biti svesni potencijalnih bezbednosnih problema koji potiču iz internog i eksternog okruženja na radnom mestu. Ovo uključuje fizičku dimenziju, koja podrazumeva posetioce, novozaposlena ili bilo koja lica koja se nalaze u kompaniji. Krucijalna je fizička kontrola i provera identiteta, nadgledanje radnih stolova i provera da li se ne nalaze ključne informacje na njima koje se mogu zloupotrebiti, nadgledanje telefona, računara (fizički ili putem sistema tehničke zaštite). Fizička sigurnost odnosi se i na antivandal sisteme, aparate za dojavu i gašenje požara.
Takođe veoma interesantna ali i delotvorna tehnika poznata kao grickanje repa, koju korsite uljezi, pojavljuje se kada zaposleni koristi svoju ključ karticu i otvori vrata prilikom ulaska u poslovnu zgradu, ali nije svestan da se neko drugi provukao kroz njih. Srodno kršenje, koje se naziva piggibacking, nastaje kada uljez ulazi tražeći pomoć od zaposlenog ( na primer osoba koja tvrdi da je izgubila ključ karticu). Stoga je od ključnog unačaja posvetiti se i ovom domenu bezbednosti.
- Upravljanje opasnostima na društvenim mrežama
Danas kompanije koriste društvene mreže kao moćno sredstvo za izgradnju brenda (lokalno ili globalno) i jačanje pozicije na tržištu. Nažalost, društveno umrežavanje otvara i velike mogućnosti za phishing napade koji mogu dovesti kompaniju do ogromne katastrofe. Na primer, Facebook je podatke svojih korisnika podelio bez njihovog odobrenja programerima trećih proizvođača. News Corp Australia Network izvestio je 1. maja 2018. da to nije bio samo Facebook: Tvitter je takođe prodao podatke korisnika kompaniji Cambridge Analitica Ltd (CA), britanskoj kompaniji za političko savetovanje koja je uticala na izbore u SAD-u 2016.
Da bi se sprečio gubitak osetljivih podataka, preduzeće mora imati održiv program obuke o društvenim mrežama koji bi trebao ograničiti upotrebu društvenih mreža i usmeravati zaposlene u pogledu pretnje lažnih napada. Pored toga, veoma je važno da zaposleni ne ostavljaju svoje poverljive podatke ili podatke za prijavu na nepoznate lokacije ili veb lokacije koje su slične originalnoj. Na primer, korisnik mora pažljivo da vidi razliku između www.yahoo.com i www.yahooo.com.
- Zlonamerni softver – trening
Trening o zlonamernom softveru trebao bi ilustrovati vrste zlonamernog softvera i njihove implikacije. Vrste zlonamernog softvera treba da uključuju adver, špijunski softver, viruse, trojance, zaledje, rootkite, ransomvare, botnete, logičke bombe i oklopne viruse. Zaposleni bi trebali naučiti kako prepoznati zlonamerni softver i šta uraditi ako je njihov uređaj ili mreža zaražena i izložena virusu. Neposredni odgovor trebalo bi da bude isključenje sistema ili uređaja i obaveštavanje tima za upravljanje sigurnošću.
Zaposleni igraju ključnu ulogu u vođenju uspešnog posla. Neobrazovana i nemarna struktura kadrova može dovesti preduzeće u opasnost od višestrukog ugrožavanja podataka. Imajući to u vidu, organizacije moraju usvojiti održiv program obuke o bezbednosti koji treba da obuhvati suštinske smernice i procedure potrebne za sprečavanje neposrednih sajber i fizičkih incidenata.