Image
6.5.2016 0 Comments

Prečo sa správame arogantne k vlastnej bezpečnosti?

Motto: Ak dávate viac peňazí na kávu ako na bezpečnosť IT, stanete sa obeťou hackerov. A zaslúžite si to. (Richard A. Clarke, americký bezpečnostný expert)

Rozvoj informačných technológií a s tým spojený nárast množstva informácií kladie čoraz náročnejšie požiadavky na rezistentnosť subjektov proti bezpečnostným hrozbám, či už na úrovni jednotlivca (súkromná osoba, zamestnanec), firmy, organizácie, alebo štátu. Navyše zaznamenané incidenty sú s vysokou pravdepodobnosťou len povestnou špičkou ľadovca a počet skutočných incidentov je niekoľkonásobne vyšší. Pritom dosah incidentov na chod organizácie je časovo a ekonomicky relevantný. Prečo si ich neuvedomujeme? Prečo sa nechávame ukolísať falošným pocitom bezpečia?

Náklady na odstraňovanie dôsledkov bezpečnostných incidentov narastajú a s rozmachom počtu zariadení pripojených na internet budú naďalej rásť. Riešením nie je neustále zavádzanie nových pravidiel a reštrikcií. Kapacita zamestnancov akceptovať pravidlá bezpečnosti sa pritom znižuje priamoúmerne s ich počtom. Veď sa nič nedeje, tak som bezpečný! Ide pravdepodobne o najčastejší dôvod, prečo sa nezamýšľať nad možnými bezpečnostnými hrozbami a ich dôsledkami. Je takýto dôvod dostatočný? Prečo sa správame arogantne k vlastnej bezpečnosti?

Podľa rôznych zdrojov, napr. prieskumov informačnej bezpečnosti v SR (MF SR), až 85 % zistených bezpečnostných incidentov zapríčiňuje ľudský faktor. Je teda zrejmé, že práve ten zohráva bez ohľadu na množstvo technických a organizačných opatrení kľúčovú úlohu pri zaisťovaní bezpečnosti. V pomyselnej pyramíde bezpečnosti, ktorej základňu tvoria jednotlivé oblasti bezpečnosti (personálna, informačná, administratívna a objektová bezpečnosť) a ďalšie poschodia rôzne predpisy, normy, zákony a politiky, je na vrchole ľudský faktor. Práve človek môže najviac ohroziť bezpečnosť. V čase rastúcich kybernetických a rôznych asymetrických hrozieb vrátane dynamiky bezpečnostného prostredia rastie súčasne tlak na primeranú výchovu jednotlivcov a formovanie ich postojov pri zaisťovaní bezpečnosti. Nevzdelaný jednotlivec, nerešpektujúci zásady a princípy bezpečnosti, je najväčšie bezpečnostné riziko.

Kľúčom k zlepšeniu bezpečnosti je budovanie bezpečnostného povedomia. Je to cesta, ako možno s primeranými nákladmi efektívne čeliť novodobým bezpečnostným hrozbám a nenechať sa ukolísať falošným pocitom bezpečnosti. Ak nastane bezpečnostný incident, je už spravidla neskoro a škody môžu byť zničujúce. Prevencia je lepšia než liečba a určite je i lacnejšia.

Čo je to bezpečnostné povedomie? Zjednodušene povedané, ide o uvedomenie si potenciálnych hrozieb a poznanie pravidiel a nástrojov, ako im predchádzať. Ide o prvú líniu obrany, ktorej cieľom je budovanie postoja k ochrane hodnôt (assets) a dosiahnutie udržateľného stavu vo vzťahu k bezpečnosti. Prakticky to znamená, že jednotlivec chápe podstatu bezpečnosti a uvedomuje si potenciálne hrozby, má vedomosti o tom, ako im predchádzať, a v prípade, že tie nastanú, vie, ako reagovať.

V kontexte bezpečnosti organizácie to znamená, že tá má vybudovaný primeraný systém hodnotenia rizík vo vzťahu k hodnotám, ktoré považuje za cenné (najčastejšie informácie), investuje do bezpečnostných opatrení a hodnotí ich efektívnosť. Inak povedané, buduje kultúru bezpečnosti organizácie ako neoddeliteľnú súčasť jej rozvoja a pretrvania. Kultúra bezpečnosti sa stáva odrazom hodnôt organizácie.

Odlišujeme viaceré stupne kultúry bezpečnosti organizácie, ktoré poukazujú na jej prístup k vlastnej bezpečnosti a budúcnosti vrátane jej imidžu. V prvom rade ide o organizáciu, ktorá nemá žiadne pravidlá bezpečnosti, nemá bezpečnostné politiky, nevzdeláva zamestnancov, čo je, samozrejme, najhoršia situácia z hľadiska bezpečnosti. V druhom rade je organizácia, ktorá má stanovené pravidlá a spĺňa normy, no len formálne, len ako byrokratickú povinnosť. Vytvára si ilúziu, že ak má bezpečnostnú politiku, dodržiava normy a zákony, je bezpečná. Ide však spravidla o veľmi nízku úroveň bezpečnosti. V treťom rade ide o organizáciu, ktorá má pravidlá, bezpečnostné politiky, dodržiava príslušné normy a primerane vzdeláva zamestnancov, čo možno považovať za takmer ideálny stav. Na najvyššom stupni je organizácia, ktorá bezpečnostné opatrenia aj pravidelne vyhodnocuje a vie vyčísliť ich ekonomický prínos. Práve schopnosť vyjadriť ekonomický prínos je v konečnom dôsledku faktor, ktorý dokáže odôvodniť zmysel a efektívnosť bezpečnostných opatrení. Bezpečnosť nie je zadarmo, no je vždy lacnejšia ako možné bezpečnostné incidenty. Organizácia systematicky budujúca kultúru bezpečnosti vie v maximálnej miere predchádzať bezpečnostným incidentom, vie ich včas odhaliť a predísť tak možným neželaným následkom. Následne vie zaviesť primerané opatrenia vrátane formovania bezpečnostného povedomia na úrovni jednotlivca, aby obdobným situáciám predišla.

Na dosiahnutie tohto cieľa treba vypracovať primeraný vzdelávací program, ktorý zohľadní špecifiká danej organizácie, jej možnosti a schopnosti. Dosiahnuť zmenu postojov jednotlivca k bezpečnosti však nie je jednoduché. Súvisí to aj s vnímaním byrokratických pravidiel bez ohľadu na to, či ide o jednoduché príkazy alebo zákazy alebo o komplexnejšie dokumenty. Jednotlivci bez príslušného bezpečnostného povedomia majú tendenciu spochybňovať ich a obchádzať. Preto treba zvoliť také postupy a nástroje vzdelávania, ktoré dokážu meniť postoje jednotlivca tak, aby sa bezpečnosť stala podvedomou súčasťou jeho myslenia a konania. Je to však najefektívnejší spôsob, ako prostredníctvom zvyšovania bezpečnostného povedomia ovplyvniť celkový stav bezpečnosti organizácie.

JUDr. Miroslav Brvnišťan, PhD.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá