Un angajat informat – un atac cibernetic evitat

Un angajat informat, un atac cibernetic evitat

Vă spuneam într-un articol anterior despre faptul că angajații determină, într-o mare măsură, vulnerabilitatea companiilor, din interior. Astăzi, venim cu o continuare a subiectului și vă spunem cum trebuie gestionată această problemă de către departamentul de HR și conducerea companiei.

De-a v-ați ascunselea: de ce ar trebui să se implice departamentul de HR și top management

Organizații din toată lumea constată că au această problemă: angajați care le fac afacerea mai vulnerabilă. Circa 52% dintre companiile participante recunosc că personalul este cea mai mare slăbiciune a lor în domeniul securității IT. Nevoia de a implementa măsuri axate pe angajați devine din ce în ce mai evidentă. Astfel încât, 35% dintre companii vor să-și îmbunătățească securitatea prin training-uri pentru angajați. Cea mai populară a doua metodă de apărare cibernetică este folosirea unor programe mai sofisticate (43%). Acestea sunt datele prezentate într-un raport Kaspersky Lab și B2B International, „Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”

Dar membrii personalului preferă să pună organizațiile în pericol decât să raporteze o problemă, pentru că se tem de sancțiuni sau le e jenă că ei sunt responsabili pentru crearea unei probleme. Unele companii au introdus reguli stricte și le impun angajaților responsabilități suplimentare, în loc să-i încurajeze, pur și simplu, să fie atenți și să coopereze. Acest lucru înseamnă că protecția cibernetică nu ține doar de tehnologie, ci și de cultura organizațională și de training. Acestea sunt și domeniile în care top managementul și departamentul de HR trebuie să se implice.

Andra Zaharia, Security Evangelist and Online Sales Manager la Heimdal Security, menționează nevoia adoptării unui mix de măsuri care trebuie luate în aceste cazuri. Este foarte important ca toată lumea implicată în aceste decizii să conștientizeze că securitatea cibernetică nu se rezumă la tehnologie și un set de reguli. Atacatorii se axează tot mai mult pe exploatarea naturii umane și a punctelor vulnerabile din psihologia umană pentru a-și atinge obiectivele.

Problema fundamentală este că toți oamenii au aceleași puncte sensibile, „programate” în ADN, care ne transformă în victime facile pentru un atacator experimentat. Principalul punct vulnerabil este încrederea pe care o avem în ceilalți, dar și în capacitatea noastră de a distinge între ce e sigur și ce nu este. „Mie nu mi se poate întâmpla asta” este unul dintre cele mai frecvent întâlnite argumente când vine vorba despre conștientizarea pericolelor de natură cyber.

La acestea se adaugă superstițiile, lucrurile pe care le considerăm a fi coincidențe, rutina, întreruperile, experiența noastră limitată (mai ales în privința securității online) și multe alte aspecte de natură psihologică. Fiecare dintre aceste elemente pot (și vor) fi folosite împotriva noastră într-un atac cibernetic.

Dincolo de cadrul legal si de riscurile de natură financiară, companiilor le-ar fi benefic să integreze conceptele de bază din securitatea cibernetică în cultura companiei. De aceea, departamentul de HR trebuie să lucreze atât cu angajații, cât și cu managementul și echipa care se ocupă de sistemele IT și de securitate, astfel încât toți să înțeleagă aceleași concepte și să știe să le aplice.

Este foarte important ca măsurile de securitate online să fie prezentate într-un cadru pozitiv. În caz contrar, angajații le vor percepe drept limitări și le vor ignora. De asemenea, este esențial ca echipa de management să înțeleagă de ce securitatea cibernetică este prioritară și să primească training dedicat cu privire la pericolele generale, dar și cele specifice, care pot apărea în calea lor.

Dacă este să vorbim despre măsuri practice, axate pe angajați, echipa de HR poate contribui prin sesiuni de training care să conțină aspecte tehnice. Mai mult decât atât, trebuie luate în calcul aspectele psihologice care să-i pregătească pe angajați pentru eventualele atacuri ai căror țintă ar putea fi.

În ceea ce privește tacticile folosite la nivel tehnic, pot fi menționate regulile din Active Directory, audit de securitate sau „penetration testing”. Este important ca orice companie să apeleze la acei stimuli care îi pot ajuta pe angajați să integreze în comportamentul lor bunele practici din securitatea cibernetică. Ei pot fi învățați cum să nu acceseze orice link primit, să nu ofere datele de acces la conturile companiei, să-și protejeze laptopul sau smartphone-ul de la serviciu, cum să recunoască un atac și cui să raporteze acest lucru.

Fiecare companie ar trebui să adopte acele măsuri care au sens în contextul propriu, respectând, în același timp, legislația (EU GDPR) și bunele practici din domeniu.

Citește și: Opt măsuri prin care companiile îşi pot îmbunătăţi securitatea informatică

(Foto: stevepb, www.pixabay.com)