Factorul de risc uman în securitatea IT


Ca parte a relației inițiale pe care o construim cu noile companii care aleg soluțiile noastre, ESET a chestionat membri ai conducerii unor companii și angajații responsabili de securitatea IT, despre ceea ce ei consideră ca fiind cele mai mari provocări în securitatea IT. Din acest sondaj, a reieșit că multe companii mari văd comportamentul neglijent al angajaților cu privire la securitatea informațiilor drept una dintre cele mai mari provocări în materie de securitate. Este paradoxal faptul că, deși companiile realizează că tocmai creșterea gradului de conștientizare în materie de securitate în rândul personalului ar duce la o securitate și mai bună a companiei în cauză, în mare parte nu sunt investite suficiente resurse în această direcție.

În scopul creșterii securității fizice și cibernetice în cadrul unei companii, angajații trebuie deseori să participe la instruiri obligatorii privind securitatea la locul de muncă și siguranța proceselor, precum și protecția împotriva incendiilor. Cu toate acestea, în zilele noastre, o companie nu poate fi scoasă din funcțiune doar de un simplu incendiu, spre exemplu, ci și printr-un atac cibernetic efectuat cu succes sau de un angajat nemulțumit care compromite în mod deliberat securitatea companiei. În alte cazuri obișnuite, lipsa de prudență a angajaților poate cauze probleme, deoarece aceștia pot deschide atașamente suspecte sau pot accesa site-uri web nesigure, în încercarea de a rezolva probleme personale sau legate de muncă. Prin urmare, este în interesul companiei să le impună angajaților un comportament responsabil la navigarea în rețea, să ofere permanent training-uri de e-learning, dar și să monitorizeze atât drepturile de acces, cât și schimbările bruște în comportamentele de utilizare.

Întreprinderile ar trebui să se concentreze, în același timp, pe educare și directive

Companiile ar trebui să implementeze anumite reguli de utilizare responsabilă a internetului și a rețelei. Aceste reguli ar trebui să informeze angajații în legătură cu link-urile sau atașamentele ce nu trebuie deschise, pe cine trebuie să consulte cu privire la e-mailurile suspecte și ce proceduri trebuie să urmeze un angajat dacă suspectează că ceva este în neregulă. Toate aceste informații pot fi încorporate în directivele interne ale unei companii, ceea ce i-ar permite acesteia să disciplineze un angajat care încalcă regulile de securitate în mod repetat.

Cu toate acestea, directivele ar trebui să meargă mână în mână cu educarea la nivel intern. „Să îi acorzi unui nou angajat 250 de directive dintr-un foc nu este o cale de urmat. În mod evident, foarte puțini angajați le citesc cu adevărat. Prin urmare, este bine să educăm proactiv angajații și apoi să evaluăm cunoștințele învățate”, spune Michal Jankech, principalul Manager de Produs la ESET, prezentând o modalitate mai eficientă de a crește gradul de conștientizare a securității în rândul personalului.

Printre clienții noștri se numără companii care investesc mult în formarea angajaților, din perspectiva securității IT. Drept urmare, fiecare angajat știe cum să acționeze în situații specifice, spre exemplu atunci când vede un coleg accesând un site web nesigur, când găsește un stick USB aruncat la întâmplare sau documente sensibile rămase la imprimantă. Acest lucru contribuie semnificativ la securitatea generală a companiei”, explică Jankech.

Poate fi o sarcină dificilă să recunoști un e-mail suspect

Atunci când educăm angajații cu privire la securitatea IT și creăm directive, este important să ne dăm seama că angajații pot avea comportamente dăunătoare, fie intenționat, fie neintenționat. Asemenea acțiuni pot fi neintenționate atunci când, de exemplu, un angajat nu este în măsură să distingă un e-mail suspect sau nu știe cum arată un link malițios. Atacatorii folosesc adesea tehnici sofisticate și dețin cunoștințe avansate pentru a face ca e-mailurile răuvoitoare să pară de încredere. De exemplu, acestea pot include un link către un site web fals al băncii sau al companiei unde lucrează angajatul. În acest caz, este necesar ca un link să fie evaluat, validat și certificat. Acest lucru se poate arăta dificil pentru un angajat obișnuit fără pregătire specifică.

Acțiunile neintenționate ale angajaților sunt deseori inofensive. Dacă un angajat decide să folosească internetul în scopuri personale și cumpără în mod legal un film și îl descarcă în rețeaua corporativă, acesta poate fi considerat un comportament de securitate slab, dar este probabil neintenționat și inofensiv.

Companiile pot fi responsabile din punct de vedere legal de conținutul partajat ilegal

Situația este complet diferită atunci când un angajat descarcă filme piratate sau muzică în rețeaua companiei. În acest caz, compania poate fi urmărită de către proprietarul dreptului de autor pentru daune și poate primi o amendă serioasă. Acest lucru se datorează faptului că în mare parte a lumii, responsabilitatea juridică revine persoanei/entității care a semnat contractul cu furnizorul de servicii de internet. În multe cazuri, compania ar fi responsabilă legal, nu angajatul care a descărcat conținut piratat la locul de muncă.

Angajații nemulțumiți pot reprezenta o amenințare pentru companie

Un comportament rău intenționat apare atunci când un angajat dorește voit să facă rău companiei. De exemplu, un angajat care părăsește compania în termeni duri ar putea decide să copieze baza de date a clienților și să o extragă din companie. În același timp, un angajat indignat ar putea infecta rețeaua companiei sau deteriora datele acesteia.

Pe lângă instruirea internă și implementarea de directive, un comportament mai atent din partea angajaților când vine vorba de securitate poate fi aplicat prin uz de tehnologie, cum ar fi utilizarea programelor de prevenire a scurgerilor de date, concepute pentru a proteja compania de tentativele de sabotaj ale angajaților sau de scurgeri de date care ar putea costa compania o amendă gravă pentru încălcarea Regulamentului general privind protecția datelor (GDPR).

Vizibilitate și acoperire mare 

Software-urile de securitate ESET vin cu opțiunea de a bloca transferul de date din companie pe medii portabile. De exemplu, compania poate stabili ce angajați au voie să copieze date de pe dispozitivele din rețea pe chei USB sau poate permite transferul de date numai pentru anumite chei USB care au conținutul lor criptat de ESET Endpoint Encryption. Folosind ESET Endpoint Security, compania poate bloca accesul la anumite tipuri de site-uri web; de exemplu, site-urile web în care angajații ar putea încărca date business sau site-uri web cu reputație scăzută care ar putea reprezenta o sursă de infectare cu malware. Un alt instrument util este ESET Enterprise Inspector, care permite, de asemenea, detectarea comportamentelor rău intenționate ale angajaților.

Datele colectate de aceste soluții de securitate sunt puse la dispoziția administratorilor IT într-o formă clară și organizată în consola ESET Security Management Center (ESMC). Astfel, personalul IT din cadrul companiei nu numai că obține o imagine de ansamblu completă despre ceea ce se întâmplă în rețeaua corporativă, dar, de asemenea, este capabil să rezolve incidentele de securitate printr-un singur click, din ESMC.

Consola ESET Security Management Center vine la pachet cu orice soluție ESET dedicată segmentului Enterprise. 

ESET Research August 29, 2019

Lasa un comentariu