Gotovo je nevjerovatno koliko, čak i u samoj zajednici profesionalaca u IKT bezbjednosti opstaje pogrešna slika o vrijednosti edukacije ljudi i podizanju svijesti o informacionoj bezbjednosti ( eng. Security awareness programs) .
U nastavku je objašnjenje za pet najčešćih
mitova odnosno zabluda, koje se često čuju a nisu tačne.
1. Edukacija ne funkcioniše
1. Edukacija ne funkcioniše
Često se čuje sljedeća izjava: „Programi edukacije su beskorisni. Još
nisam vidio slučaj da je program edukacije o bezbjednosti promijenio ponašanje
ljudi“.
Iskreno, u mnogome se lako složiti sa ovom izjavom. Često smo bili
svjedoci različitih obuka, koje zaista nisu uticale na ponašanje ljudi.
Međutim, mnogi programi iz prošlosti
nisu ni bili iskreno namijenjeni da utiču na ponašanje ljudi. Sprovođeni su da
bi se postigla usklađenost sa planovima, i da se čekira da je zadatak izvršen.
U skladu sa tim, izvođeni su uz minimalne troškove i resurse . bile su to
PowerPoint prezentacije jednom godišnje, koje su u najboljem slučaju slijedili
formalni testovi provjere znanja, ili periodična propagandna poruka.
Da bi program edukacije dao rezultate on mora biti kreiran sa osnovnim
ciljem da iz korjena promijeni ponašanje i da se to prilikom kreiranja uvijek
ima na umu. Takođe, treba da je kontinuiran.
2. Nije vrijedno truda jer će neko uvijek zabrljati
Vlada mišljenje da je edukacija neuspjeh, jer koliko god trenirali ljude, uvijek će postojati grupa ljudi koji će biti žrtve nepažnje. Ali, ljudi, pa bezbjednost je priča o smanjenju rizika, a ne eliminaciji!
2. Nije vrijedno truda jer će neko uvijek zabrljati
Vlada mišljenje da je edukacija neuspjeh, jer koliko god trenirali ljude, uvijek će postojati grupa ljudi koji će biti žrtve nepažnje. Ali, ljudi, pa bezbjednost je priča o smanjenju rizika, a ne eliminaciji!
Svjesnost nije ništa drugo nego još jedna bezbjednosna kontrola. Zašto
ljudi posmatraju svjesnost kao potpuno posebnu kategoriju u bezbjednosti –
ostaje tajna. Svjesnost se ne razlikuje od šifrovanja, na primjer, FW ili detekcije upada. Međutim, sa povećanjem
svijesti može se dobiti puno veći povraćaj uloženog. Ispitivanja su pokazala da
se nakon intenzivne edukacije i testiranja, rizik sa 95% smanjuje na 5%.
Postoji li ijedan uređaj sa takvim rezultatima?
3. Ljudi već znaju šta treba da rade
3. Ljudi već znaju šta treba da rade
Postoje mišljenja da ljudi jako dobro znaju pravila, te šta treba da
rade a šta ne, samo se jednostavno ne pridržavaju toga. Ovo mišljenje često
ćete čuti i među profesionalcima.
Činjenica je da je ovakvo mišljenje paušalno i potpuno neutemeljeno.
Profesionalci koji drže obuke po organizacijama svjdoče da zaposleni ne samo da obično zaista nemaju pojma koja
pravila treba da slijede, i naročito - zašto, već su i naprosto gladni da uče u
toj oblasti. Većina ljudi zna da opasnost preti sa mreže, da postoje neki „loši
momci“ , ali ne znaju šta tačno treba da urade da bi se zaštitili. Dakle,
problem nisi ljudi. Problem je što obuka nije efikasna.
Evo primjer jedne stvari koju većina zaposlenih prije obuke nije znala:
da je održavanje operativnih sistema i aplikacija ažurnim i njihovo redovno
pečovanje presudno za bezbjedan rad njihovih računara, tableta i mobilnih
telefona.
4. Sve je u prevenciji
4. Sve je u prevenciji
Kad se diskutuje o bezbjednosnoj svjesnosti, ona se često posmatra
isključivo u diskursu prevencije. Pokušava da se nametne i sprovede ideja „ljudskog
zida“. Prevencija jeste važna, ali zašto se ograničavati? Idealno je da ljude posmatramo ( i treniramo da budu)
upravo i detektori incidenata.
Važno je da zaposleni steknu saznanje o kompromisu koji se nameće: ne
može se sve preduprediti, ali dobro je i ako se detektuje i prijavi . Dobar
primjer za uvođenje ovakvog ponašanja je da se prilikom terstiranja zaposlenih
podložnosti prevarama i napadima ( npr. interna fišing procjena) , pored broja
radnih stanica sa kojih je pokrenut „opasan“ link, vodi evidencija i o broju
radnika koji su incident prijavili. Ovakvim treninzima istinski jačamo svoju
organizaciju.
5. Ma to je jednostavno!
5. Ma to je jednostavno!
Mnogo ljudi, čak i iz oblasti IKT bezbjednosti reći će: edukacija
zaposlenih – ma to je jednostavno! Da, ukoliko vam je usaglašenost sa propisima
i standardima jedini cilj, onda jeste. Održi se bilo kakvo predavanje i čekira
se aktivnost „podizanje svijesti“ .
Međutim, ukoliko je cilj da se efikasno smanji rizik od zloupotrebe
ljudskog ponašanja, potrebno je imati
jasan plan i držati ga se. Konkretno,
potrebno je da u pripremi vašeg programa identifikujete koje su to
promjene u ponašanju koje bi bitno smanjile rizik u vašoj organizaciji, a zatim
kako se angažovati da se one najefikasnije sprovedu.
Jedna od najčešćijh prepreka je, zapravo, obeshrabrenje na samom početku
– Kako uopšte početi?
Ukoliko u organizaciji nemate profesionalca, ovaj posao povjerite
iskusnom edukatoru, ili pronađite organizaciju koja već ima pripremljen
program. Ovo nije posao koji se završava
jednom serijom predavanja. Ljudi obično ne vole predavanja, ali sa druge strane
– vole da uče! Bitno je da se ova obuka na samom početku napravi privlačnom, uz
isticanje važnosti, te da se nastavlja kontinuirano uz redovna testiranja. Zaposleni će je vrlo brzo prihvatiti, i prigrliti osjećaj "važne karike" koji će im ovakva obuuka pružiti.
Dobra strategija je da se počne sa kraćim video sadržajima, a da se
periodično održavaju i prezentacije. Prezentacije treba da budu pripremljene
posebno za različite tipove korisnika ( npr nije ista za zaposlene u IT
sektoru, za top menadžment, za poslovne
funkcije, i npr. službe obezbjeđenja).
Posteri sa bezbjednosnim porukama istaknuti po organizaciji su
nenametljiv, ali vrlo efikasan alat. Slično tome su i povremeni informacioni
mejlovi, kao i poruke koje se izmjenjuju periodično na intranet portalima
organizacije.
Jednom kad se uspostavi ovakav kontinuitet edukacije, i pravilo da se
svaki novozaposleni odmah edukuje, ostaje samo da se program ažurira novim
sdržajima ( uvijek je bitno predstaviti nove opasnosti – npr. iako je lažni
antivirus prisutan već nekoliko godina, malo je programa za edukaciju koji daju
primjer kako konkretno izgleda i kako se nositi sa tim).
Lično sam veliki pobornik preduzimanja obuke za podizanje svijesti u bezbjednosti IKT.
Takođe, bavim se izučavanjem socijalnog inženjeringa i ljudskog ponašanja.
Najjednostavnije rečeno, iako je svako od nas posebna jedinka kompleksnog
ponašanja, može se sprovesti generalizacija da je zaposleni prilikom obavljanja
radnih zadataka samo jedan operativni sistem – ljudski, možda malo nestabilniji
od onog što inače tako zovemo , ali ipak sa definisanim operacijama. I vrlo
skalabilan. Ako to tako posmatramo, onda će smanjenje rizika ići uporedo sa
održavanjem tog ljudskog OS ažurnim, kao što to radimo i na mašinama.
Treba takođe iskoristiti ljudsku prirodu i reći : koliko se žalimo da je
ljudska nepažnja neograničena, isto možemo posmatrati i da je u drugom smjeru
neograničena ljudska inventivnost i želja da se uči. U tom slučaju, kao što već
poslovično svuda povećava rizik, ljudski faktor na drugoj strani postiže
najbolje rezultate i na smanjenju rizika. Bitno je za šta se odlučimo.
Нема коментара:
Постави коментар