Image
6.5.2016 0 Comments

Prečo sa správame arogantne k vlastnej bezpečnosti?

Motto: Ak dávate viac peňazí na kávu ako na bezpečnosť IT, stanete sa obeťou hackerov. A zaslúžite si to. (Richard A. Clarke, americký bezpečnostný expert)

Rozvoj informačných technológií a s tým spojený nárast množstva informácií kladie čoraz náročnejšie požiadavky na rezistentnosť subjektov proti bezpečnostným hrozbám, či už na úrovni jednotlivca (súkromná osoba, zamestnanec), firmy, organizácie, alebo štátu. Navyše zaznamenané incidenty sú s vysokou pravdepodobnosťou len povestnou špičkou ľadovca a počet skutočných incidentov je niekoľkonásobne vyšší. Pritom dosah incidentov na chod organizácie je časovo a ekonomicky relevantný. Prečo si ich neuvedomujeme? Prečo sa nechávame ukolísať falošným pocitom bezpečia?

Náklady na odstraňovanie dôsledkov bezpečnostných incidentov narastajú a s rozmachom počtu zariadení pripojených na internet budú naďalej rásť. Riešením nie je neustále zavádzanie nových pravidiel a reštrikcií. Kapacita zamestnancov akceptovať pravidlá bezpečnosti sa pritom znižuje priamoúmerne s ich počtom. Veď sa nič nedeje, tak som bezpečný! Ide pravdepodobne o najčastejší dôvod, prečo sa nezamýšľať nad možnými bezpečnostnými hrozbami a ich dôsledkami. Je takýto dôvod dostatočný? Prečo sa správame arogantne k vlastnej bezpečnosti?

Podľa rôznych zdrojov, napr. prieskumov informačnej bezpečnosti v SR (MF SR), až 85 % zistených bezpečnostných incidentov zapríčiňuje ľudský faktor. Je teda zrejmé, že práve ten zohráva bez ohľadu na množstvo technických a organizačných opatrení kľúčovú úlohu pri zaisťovaní bezpečnosti. V pomyselnej pyramíde bezpečnosti, ktorej základňu tvoria jednotlivé oblasti bezpečnosti (personálna, informačná, administratívna a objektová bezpečnosť) a ďalšie poschodia rôzne predpisy, normy, zákony a politiky, je na vrchole ľudský faktor. Práve človek môže najviac ohroziť bezpečnosť. V čase rastúcich kybernetických a rôznych asymetrických hrozieb vrátane dynamiky bezpečnostného prostredia rastie súčasne tlak na primeranú výchovu jednotlivcov a formovanie ich postojov pri zaisťovaní bezpečnosti. Nevzdelaný jednotlivec, nerešpektujúci zásady a princípy bezpečnosti, je najväčšie bezpečnostné riziko.

Kľúčom k zlepšeniu bezpečnosti je budovanie bezpečnostného povedomia. Je to cesta, ako možno s primeranými nákladmi efektívne čeliť novodobým bezpečnostným hrozbám a nenechať sa ukolísať falošným pocitom bezpečnosti. Ak nastane bezpečnostný incident, je už spravidla neskoro a škody môžu byť zničujúce. Prevencia je lepšia než liečba a určite je i lacnejšia.

Čo je to bezpečnostné povedomie? Zjednodušene povedané, ide o uvedomenie si potenciálnych hrozieb a poznanie pravidiel a nástrojov, ako im predchádzať. Ide o prvú líniu obrany, ktorej cieľom je budovanie postoja k ochrane hodnôt (assets) a dosiahnutie udržateľného stavu vo vzťahu k bezpečnosti. Prakticky to znamená, že jednotlivec chápe podstatu bezpečnosti a uvedomuje si potenciálne hrozby, má vedomosti o tom, ako im predchádzať, a v prípade, že tie nastanú, vie, ako reagovať.

V kontexte bezpečnosti organizácie to znamená, že tá má vybudovaný primeraný systém hodnotenia rizík vo vzťahu k hodnotám, ktoré považuje za cenné (najčastejšie informácie), investuje do bezpečnostných opatrení a hodnotí ich efektívnosť. Inak povedané, buduje kultúru bezpečnosti organizácie ako neoddeliteľnú súčasť jej rozvoja a pretrvania. Kultúra bezpečnosti sa stáva odrazom hodnôt organizácie.

Odlišujeme viaceré stupne kultúry bezpečnosti organizácie, ktoré poukazujú na jej prístup k vlastnej bezpečnosti a budúcnosti vrátane jej imidžu. V prvom rade ide o organizáciu, ktorá nemá žiadne pravidlá bezpečnosti, nemá bezpečnostné politiky, nevzdeláva zamestnancov, čo je, samozrejme, najhoršia situácia z hľadiska bezpečnosti. V druhom rade je organizácia, ktorá má stanovené pravidlá a spĺňa normy, no len formálne, len ako byrokratickú povinnosť. Vytvára si ilúziu, že ak má bezpečnostnú politiku, dodržiava normy a zákony, je bezpečná. Ide však spravidla o veľmi nízku úroveň bezpečnosti. V treťom rade ide o organizáciu, ktorá má pravidlá, bezpečnostné politiky, dodržiava príslušné normy a primerane vzdeláva zamestnancov, čo možno považovať za takmer ideálny stav. Na najvyššom stupni je organizácia, ktorá bezpečnostné opatrenia aj pravidelne vyhodnocuje a vie vyčísliť ich ekonomický prínos. Práve schopnosť vyjadriť ekonomický prínos je v konečnom dôsledku faktor, ktorý dokáže odôvodniť zmysel a efektívnosť bezpečnostných opatrení. Bezpečnosť nie je zadarmo, no je vždy lacnejšia ako možné bezpečnostné incidenty. Organizácia systematicky budujúca kultúru bezpečnosti vie v maximálnej miere predchádzať bezpečnostným incidentom, vie ich včas odhaliť a predísť tak možným neželaným následkom. Následne vie zaviesť primerané opatrenia vrátane formovania bezpečnostného povedomia na úrovni jednotlivca, aby obdobným situáciám predišla.

Na dosiahnutie tohto cieľa treba vypracovať primeraný vzdelávací program, ktorý zohľadní špecifiká danej organizácie, jej možnosti a schopnosti. Dosiahnuť zmenu postojov jednotlivca k bezpečnosti však nie je jednoduché. Súvisí to aj s vnímaním byrokratických pravidiel bez ohľadu na to, či ide o jednoduché príkazy alebo zákazy alebo o komplexnejšie dokumenty. Jednotlivci bez príslušného bezpečnostného povedomia majú tendenciu spochybňovať ich a obchádzať. Preto treba zvoliť také postupy a nástroje vzdelávania, ktoré dokážu meniť postoje jednotlivca tak, aby sa bezpečnosť stala podvedomou súčasťou jeho myslenia a konania. Je to však najefektívnejší spôsob, ako prostredníctvom zvyšovania bezpečnostného povedomia ovplyvniť celkový stav bezpečnosti organizácie.

JUDr. Miroslav Brvnišťan, PhD.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Žiadne komentáre

Vyhľadávanie

Kyocer TASK

Najnovšie videá