Bezpieczeństwo w erze cyfrowej nie jest przedmiotem monolitycznym, ale sumą wielu indywidualnych decyzji podejmowanych codziennie przez użytkowników. Jeśli twoi pracownicy podejmą te decyzje poprawnie, to wraz z dobrze zbudowaną infrastrukturą bezpieczeństwa stworzą silny łańcuch, który może pomóc w ochronie wrażliwych danych, aplikacji oraz przestrzeni fizycznych. Jeśli jednak użytkownicy nie znają i nie przestrzegają obowiązujących zasad, rutynowo wybierając drogę na skróty, w łańcuchu obronnym pojawia się coraz więcej słabych ogniw, co drastycznie zwiększa ryzyko naruszenia bezpieczeństwa, kradzieży lub innego przestępstwa bez względu na to, ile wydałeś wcześniej na technologię.
Bezpieczeństwo należy postrzegać z szerszej perspektywy. Poza inwestycjami technologicznymi i procedurami, bezpieczeństwo zaczyna się i kończy na ludziach: ich zachowaniach, motywacjach i nawykach. Dlatego aby odwrócić ten proces i uczynić nasz łańcuch mocnym, potrzeba odpowiedniej wiedzy o człowieku, a nie tylko o technologii. W dobie pośpiechu i lawiny bodźców, atakujących ludzi z każdej strony, budowanie kultury bezpieczeństwa jest sztuką, ponieważ wymaga interdyscyplinarności, w tym między innymi wiedzy z dziedziny komunikacji i marketingu, aby móc skutecznie walczyć o uwagę użytkownika. To pierwszy powód, dla którego nie powinien się tym zajmować dział IT/Security, który owszem ma olbrzymią wiedzę z dziedziny technologii, ale komunikacja interpersonalna nie należy do jego najmocniejszych stron, a rządząca się „nielogicznymi prawami” specyfika ludzkiej natury jest mu zupełnie obca.
Drugim powodem są koszty. Utrzymanie doświadczonego zespołu inżynierskiego to poważny wydatek, dlatego jego zasoby powinny być wykorzystywane jak najefektywniej, czyli do obsługi rozwiązań technologicznych. Prowadzenie „programu uświadamiającego” dla użytkowników z doskoku przez dział IT/Security odniesie tylko jeden efekt: zmarnowany czas inżyniera oraz użytkowników. Specjalista IT będzie bowiem zmuszony zająć się czymś, o czym pojęcie ma w najlepszym wypadku mgliste, zrobi to więc niechętnie, niepewnie i z użyciem jedynych znanych sobie środków, skupionych wokół technologii; natomiast użytkownicy swoje odsiedzą (zamiast pracować), coś zapamiętają, coś zanotują i schowają do szuflady razem z zapisanymi na post-itach hasłami do systemu… Nietrudno sobie wyobrazić jeszcze gorszy scenariusz, w którym użytkownicy po zbyt dużej dawce długich, nudnych (tak, technologia dla przeciętnego Kowalskiego jest nudna) i niezrozumiałych szkoleń, będą w przyszłości unikać Security Awareness jak ognia, a zaangażowany w ten temat inżynier będzie sfrustrowany brakiem efektów swojej pracy twierdząc, że użytkownicy to idioci, którzy nic nie rozumieją.
Jak ci się podoba taki scenariusz? Oczywiście możesz na jego podstawie dojść do wniosku, że Security Awareness nie działa i szkoda na to każdej złotówki. I w tym miejscu się z tobą zgodzę – szkoda każdej złotówki wydanej na takie nieskuteczne działania, szkoda też czasu i frustracji wszystkich zaangażowanych w nie stron.
Czy istnieje w takim razie jakieś inne, dobre rozwiązanie? Oczywiście, że tak. Ważne jednak, aby pamiętać, że zmiana czynnika ludzkiego to proces, który potrzebuje systematyki w działaniu, a nie pojedynczych zrywów, bo działania incydentalne to strata pieniędzy, energii i czasu. Mądre wyjścia są dwa:
- Powołanie w firmie stałego zespołu do realizacji programu Security Awareness, jego specyficzna edukacja, wybór narzędzi wspomagających i automatyzujących proces, wdrożenie programu, realizacja, pomiar efektów i działania korygujące, pozwalające osiągnąć najlepsze rezultaty.
- Zlecenie całości zadania profesjonalistom z doświadczeniem i specjalizacją w tematyce kształtowania Kultury Bezpieczeństwa, dysponującym i posługującym się na co dzień najlepszymi narzędziami o potwierdzonej badaniami skuteczności.
Powiecie, że opcja nr 2 to wysokie koszty. Pozwolę sobie nie zgodzić się z wami i założę się z każdym, kto będzie chciał rzetelnie to policzyć, że wybór zewnętrznej firmy pozwoli wam zaoszczędzić na kosztach usług przynajmniej 50% w stosunku do kosztu samodzielnego prowadzenia programu Security Awareness. Ktoś ma ochotę podjąć wyzwanie?
"Łącząc wiedzę, doświadczenie, pasję i zaangażowanie, oferuję i pomagam wdrażać skuteczne rozwiązania wzmacniające kulturę bezpieczeństwa w organizacji - Security Awareness Program."
CZY WIESZ, ŻE DOBRZE WDROŻONY PROGRAM SECURITY AWARENESS
ZMNIEJSZA LICZBĘ INCYDENTÓW SPOWODOWANYCH PRZEZ UŻYTKOWNIKÓW AŻ O 80-90%?
Sprawdź podatność swojej firmy na cyberzagrożenia i zamów bezpłatny test phishingowy
oraz umów się na darmowe konsultacje – wypełnij formularz kontaktowy
zadzwoń lub wyślij nam e-mail, a odpowiemy w ciągu 24 godzin.