15.12.2015 0 Comments

Quo vadis, bezpečnostné povedomie...?

V digitálnom priestore sa vyskytujú aj zlomyseľní jedinci či skupiny, ktorí nedostatočné znalosti bežných používateľov cieľavedome využívajú. No aj slušní ľudia sú omylní, a preto aj neúmyselné chyby môžu mať v digitálnom priestore ďalekosiahle následky.

Každý dobromyseľný „bežný" používateľ informačných a komunikačných technológií by mal disponovať aspoň základnými znalosťami. To znamená, že by mal vedieť, ako konať spôsobom, aby svojou činnosťou neohrozil ostatných používateľov a zároveň sa dokázal efektívne brániť prípadným hrozbám prichádzajúcim zvonku.

Kategorizácia používateľov

Vedeckí pracovníci

Tí, ktorí v informačnej bezpečnosti disponujú najvyšším množstvom vedomostí, sú výskumní pracovníci a pedagógovia vyučujúci informačnú bezpečnosť na univerzitnej úrovni. Je to napríklad aj z toho dôvodu, že oni sami tie vedomosti tvoria. Táto skupina má komplexný prehľad a všetky potenciálne dostupné zdroje informácií o celej problematike bezpečnosti a v porovnaní s ostatnými skupinami je schopná túto problematiku tvorivo rozvíjať.

Špecialisti informačnej bezpečnosti

Okrem vedeckých pracovníkov je toto jedna z dvoch skupín profesionálov, ktorá je sofistikovane zameraná na oblasť informačnej bezpečnosti. Bezpečnostní architekti, bezpečnostní manažéri, administrátori bezpečnostných systémov, špecialisti manažmentu IT rizík, audítori bezpečnosti informačných systémov, bezpečnostní analytici, kryptológovia, vyšetrovatelia bezpečnostných incidentov - to všetko sú pracovné roly, ktoré sa v každodennej praxi zaoberajú otázkami ochrany informačných aktív, oblasťou manažmentu rizík IKT, forenznou informatikou, testovaním alebo auditom bezpečnosti, návrhom architektonických riešení IKT odolných hrozbám a implementáciou bezpečnostnej infraštruktúry.

Treba uviesť, že aj legislatívou, v praxi je však, žiaľ, skôr pravidlom, že zákony týkajúce sa bezpečnosti tvoria úradníci a právnici, neraz bez akejkoľvek znalosti problematiky.

Riadiaci zamestnanci mimo IT

Špecificky sú to manažéri a vedúci pracovníci organizácie, ktorí nie sú zodpovední za kvalitu IT služieb. Do tejto skupiny radíme aj zamestnancov so zvláštnymi privilégiami v systémoch.

Informatici

Sem zahŕňame IT manažérov, správcov systémov a vývojárov systémov a aplikácií. Na túto profesijnú skupinu sa kladú vyššie požiadavky na znalosti z oblasti IT bezpečnosti napriek tomu, že sa s tou oblasťou stretávajú len nepriamo. Práve oni sú však tí, ktorí prostredníctvom technológií rozhodnú, či nejaký systém je alebo nie je odolný proti známym hrozbám. K tejto skupine z hľadiska znalostných potrieb patria aj pedagógovia vyučujúci stredoškolskú informatiku, keďže majú najvýznamnejšiu možnosť ovplyvniť celoživotné návyky budúcich používateľov IKT v pracovnom prostredí.

Profesionáli mimo IT

Sú to napríklad zamestnanci bánk alebo vo všeobecnosti zamestnanci organizácií, ktoré narábajú s citlivými alebo zneužiteľnými informáciami.

Laickí používatelia

Z hľadiska početnosti sú najväčšou skupinou laickí používatelia informačných a komunikačných technológií. Typický „bežný" používateľ nemá žiadne nadštandardné privilégiá v systémoch a nie je zodpovedný za kvalitu a správnu funkciu IKT. Na vysvetlenie problematiky bezpečnostného povedomia si ďalej dovolím použiť práve skupinu laických používateľov.

Bezpečnostné povedomie

Treba uviesť, že zvyšovanie povedomia nie je rovnaký pojem ako školenie. Školenie alebo aj tréning sú zamerané na profesionálov vykonávajúcich určitú konkrétnu činnosť a práve školenie im má pomôcť zvýšiť kvalitu vykonávania tejto činnosti.

Cieľom programov na zvyšovanie povedomia je však iba zamerať pozornosť používateľov aj na otázky súvisiace s bezpečnosťou, navnadiť ich vnímať bezpečnosť ako problematiku, nad ktorou by sa mali aspoň okrajovo zamyslieť pri výkone bežných činností, pri ktorých používajú informačné a komunikačné technológie.

Zvyšovanie povedomia má umožniť jednotlivcom, aby rozpoznávali bezpečnostné hrozby, a naučiť ich reagovať na tieto hrozby zodpovedajúcim spôsobom. Študent je v tomto prípade iba pasívny príjemca informácií, zatiaľ čo študent v školiacom procese má oveľa aktívnejšiu úlohu.

Systém vzdelávania

Vedeckí pracovníci a špecialisti informačnej bezpečnosti poznajú svoje kvalifikačné nedostatky a svoje vzdelávacie potreby vedia presne definovať a plánovať. Ak odmyslíme formálne vzdelávanie, profesijné organizácie ponúkajú niekoľko rôznych certifikačných schém. Niektorými certifikátmi možno hodnoverne preukázať, že ich vlastník je kvalifikovaným odborníkom v oblasti informačnej bezpečnosti.

Na opačnej strane pomyselnej úsečky znalostí v informačnej bezpečnosti je skupina laických používateľov. Požiadavka na ich bezpečnostné povedomie môže byť dočasne pokrytá altruistickými projektmi rôznych mimovládnych organizácií, občianskych združení a zainteresovaním špecialistov na informačnú bezpečnosť do vzdelávacích programov. Čo však učiniť s potrebami manažérov? Čo s profesionálnymi informatikmi, ktorí priamo nevykonávajú úlohy v informačnej bezpečnosti? Čo s pedagógmi v stredných a základných školách, ktorí majú deti a mládež sami naučiť základy informačnej bezpečnosti? A čo so všetkými ostatnými zamestnancami, ktorých jedinou väzbou s IT svetom je len ich pracovný nástroj - počítač?

Toto je skupina, ktorá je z hľadiska kvalifikačných potrieb vo vrstve nazvanej odborné školenia. Aký certifikát, aké školenie by sme mohli tejto skupine odporúčať? V poslednom čase sú na trhu dve novinky. Jedna pochádza z dielne ISACA (Asociácie audítorov bezpečnosti informačných systémov) a nazýva sa CSX (Cybersecurity Nexus). Ide o školenie a certifikáciu v oblasti kybernetických hrozieb. Druhá, podstatne dostupnejšia, je ISF (Information Security Foundation), promovaná EXIN-om, popredným svetovým poskytovateľom nezávislých certifikácií v oblasti informačného manažmentu. Podstatné je zdôrazniť, že najúčinnejší spôsob, ako zvýšiť úroveň informačnej bezpečnosti na Slovensku, je sústrediť sa na dve najväčšie cieľové skupiny, jednak na laických používateľov a programy zvyšovania ich bezpečnostného povedomia a popritom na školenia informatikov, ktorí nevykonávajú prax v informačnej bezpečnosti.

Prvá masová skupina, samozrejme, predstavuje najväčšie riziká, pretože je najviac a najčastejšie vystavená všeobecným hrozbám pochádzajúcim z digitálneho sveta.

Naproti tomu vhodný prístup je začať postupne školiť aj skupiny profesionálov, ktorí sú v úzkom pracovnom kontakte s citlivými informačnými aktívami, a učiteľov, ktorí zodpovedajú za zvyšovanie bezpečnostného povedomia mládeže. Kým prvá skupina spadá do roviny zvyšovania bezpečnostného povedomia, tá druhá patrí do prístupu nazývaného bezpečnostné školenia. Ktorý z týchto prístupov je účinnejší, to ukáže čas.

Ivan Makatúra, Riaditeľ úseku informačnej bezpečnosti EMM, s. r. o., súdny znalec v odvetví bezpečnosti a ochrany informačných systémov, certifikovaný audítor ISO 20000 a ISO 27000

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá