Kultura bezpieczeństwa. Przedsiębiorco, przeczytaj
Kultura bezpieczeństwa pracodawcy i pracownika. Dzisiejsze przedsiębiorstwa zostały zmuszone do zmiany sposobu wykonywania swojej pracy. Covid-19 nie zapoczątkował pracy zdalnej, ale zdecydowanie ją przyśpieszył, pozostawiając przy tym w niepewności właścicieli firm, którzy szukali odpowiednich sposobów na zapewnienie pracownikom właściwego bezpieczeństwa i produktywności poza biurem. Niestety home office oznacza, że zatrudniony ma dostęp do zasobów, haseł, nie ma nadzoru i wsparcia takiego jak wcześniej.
Bez względu na to jak kompetentny i zaangażowany jest Twój zespół zajmujący się bezpieczeństwem lub jak solidne są Twoje narzędzia do ochrony cyberprzestrzeni, wystarczy jedno zaniedbanie pracownika, aby pojawił się nie lada problem.
Nieważne, ile przeznaczysz na swoją infrastrukturę bezpieczeństwa to zatrudniona przez Ciebie osoba powinna umieć posługiwać się konkretnymi narzędziami poprawnie (np. możesz zainstalować bardzo dobry program antywirusowy, ale jeżeli ktoś padnie ofiarą oszustwa typu spear-phishing i tak nieumyślnie przekaże hasło hakerowi). Właśnie dlatego to umiejętność zachowania kultury bezpieczeństwa jest tak ważna.
Co to jest kultura bezpieczeństwa?
Kultura bezpieczeństwa to środowisko, w którym pracownicy nie tylko rozumieją znaczenie cyberbezpieczeństwa, ale także aktywnie uczestniczą w ochronie organizacji przed przestępcami.
Bezpieczeństwo powinno być uwzględnione w każdym procesie i decyzjach. Gdy staje się ono częścią zwyczaju, każdy członek firmy przyjmuje osobistą odpowiedzialność za swoje działania w sieci.
Kilka przykładów:
- pracownicy rozumieją różnicę między słabym a silnym hasłem i regularnie je zmieniają
- wiedzą, jak identyfikować potencjalne zagrożenia (np. phishing) i zgłaszają je do odpowiedniego działu
- nie zapisują się do usług niezwiązanych z danym biznesem na urządzeniach
- nie używają danych firmy do logowania się na konta osobiste
- gdy pracownik popełni błąd informuje o tym zespół zajmujący się ochroną, a także podejmuje działania mające na celu skorygowanie swojego błędu
- pracownicy nie dzielą się hasłami, kodami dostępu, kartami magnetycznymi itp., dlatego że zdają sobie sprawę jak łatwo wrażliwe dane mogą dostać się w niepowołane ręce
- odpowiedzialna osoba, niezależnie od stażu pracy i obowiązków, rozumie, dlaczego należy przestrzegać wytycznych
7 kroków do budowania kultury bezpieczeństwa w miejscu pracy
Aby bezpieczeństwo stało się podstawą kultury organizacyjnej firmy musisz wszystkim umożliwić zrozumienie zjawiska cyberprzestępczości.
Innymi słowy, jeżeli chcesz odnieść sukces, musisz współpracować z odpowiednimi specjalistami. Jeśli umożliwisz wgląd w poszczególne procesy/działania oraz podzielisz się swoją wiedzą, doświadczeniem, pracownicy będą czuli się upoważnieni do uczestnictwa w kulturze bezpieczeństwa.
7 zalecanych kroków:
Krok 1. Przyjrzyj się swojej obecnej sytuacji
Zacznij od oceny, gdzie dzisiaj się znajdujesz. Czy pracownicy są aktywnie zaangażowani w funkcjonujący proces bezpieczeństwa?; Możesz zapewnić, że są na bieżąco z najnowszymi i najlepszymi praktykami?; Czy ostrzegasz odpowiednie osoby w momencie zagrożenia lub próby naruszenia? (jeżeli tak, to w jaki sposób?).
Krok 2. Edukacja wszystkich pracowników w zakresie ich obowiązków
Kiedy już dowiesz się na jakim etapie jesteś nadchodzi czas na zmiany. Poświęć czas na przeszkolenie wszystkich pracowników w zakresie bezpieczeństwa cybernetycznego i ich roli w zapewnianiu bezpieczeństwa organizacji. To zawsze dobry moment na odświeżenie wiedzy najlepszych, najnowszych praktyk zachowania w sieci.
Krok 3. Dyrektorzy działów, czyli wzmocnienie bezpieczeństwa
Zbierz koordynatorów poszczególnych działów. Siła lidera to moc całego zespołu. Kultura bezpieczeństwa się nie rozwinie, jeżeli przewodniczący nie zaangażują się w przestrzeganie standardów bezpieczeństwa. Podobnie jak w przypadku innych wymogów dotyczących danych przepisów, to kierownicy są odpowiedzialni za to jak działa ich zespół.
Krok 4. Wdrażaj przydatne informacje
Jednym z najlepszych sposobów maksymalizacji wydajności zabezpieczeń jest wykorzystanie technologii analizy/wywiadu zagrożeń. Dzięki temu zidentyfikujesz czy dana organizacja została narażona na atak, zaalarmujesz odpowiednią firmę i określisz skąd wziął się aktualny problem.
Analiza pomaga w obserwacji postępów. Jeśli liczba zgłoszonych naruszeń zmniejszy się, będziesz wiedzieć, że praca nad zachowaniem bezpieczeństwem jest skuteczna.
Krok 5. Rozliczaj pracowników
Kiedy możesz prześledź źródło potencjalnego włamania, wtedy będziesz mógł określić która osoba lub dział są odpowiedzialni (np. możesz dojść do wniosku, że pracownik użył danych uwierzytelniających firmy do założenia konta w nieautoryzowanej witrynie; możesz sprawdzić czy cały dział nie korzysta z jednego loginu). Taki wgląd pozwala na pociągnięcie pracowników do odpowiedzialności, dzięki wykryciu błędu będą oni w stanie poprawić swoje nawyki.
Krok 6. Reedukacja osób ‘’leniwych’’
Zamiast zmuszać całą firmę, do poddawania się co kwartał edukacji w zakresie bezpieczeństwa, skoncentruj się na pracownikach, którzy popełniają błędy. Z czasem, najmniej świadomi wyedukują się i zrozumieją jak ważne jest bezpieczeństwo.
Krok 7. Świętowanie i pamięć
Pamiętaj, aby nagrodzić osoby, zespoły, które wspierają i zachowują kulturę bezpieczeństwa. Przyznawaj premię za braki naruszeń. Zachęci to innych i zwróci uwagę osób, które dotąd nie dbały o cyberbezpieczeństwo.
Kultura dzisiaj
Dzisiaj kultura bezpieczeństwa to zbyt wiele dla jednej osoby, zespołu, działu. Konsekwentna walka z zagrożeniami wymaga pełnego zrozumienia i zaangażowania pracowników. Potrzeba strategii, spójności, aktywności wyższego kierownictwa, widoczności w całej organizacji. Podejmując właściwe kroki w celu zbudowania, wzmocnienia kultury, będziesz dobrze przygotowany do zwiększenia bezpieczeństwa i jego rozwoju w firmie.
Źródło: https://www.securitymagazine.com/articles/93980-how-to-build-a-culture-of-security