hu 
Az IBM „Cost of a Data Breach Report” 2021-es jelentése szerint az adatszivárgás globálisan mért, átlagos költsége 4,24 millió dollárra becsülhető. A kibertámadások időbe és pénzbe kerülnek a szervezeteknek, nemcsak adatvesztés formájában, hanem jó hírnevük visszafordíthatatlan károsodása révén is, ami ügyfelek elvesztéséhez vezet. A biztonsági rések után az ügyfelek hűségét szinte lehetetlen visszaszerezni. A malware-fenyegetések és a zsarolóprogram-támadások számának kritikus növekedésével világszerte a nagyvállalatok kézenfekvőnek tűnő megoldást felé fordulnak: milliárdokat fektetnek be kiberbiztonsági stratégiákba és eszközökbe annak érdekében, hogy megerősítsék az ilyen támadásokkal szembeni védekezésüket. A növekvő technológiai fejlesztéseket, például az ML-t és az AI-t azonban nemcsak a technológiában jártas vállalatok, hanem maguk a támadók is bevetik.
A legújabb technológia fejlesztéséért és bevezetéséért folyó versenyben azonban magát a legnagyobb kiberfenyegetést – az emberi viselkedést – figyelmen kívül hagyják. Az IBM 2014-es kiberbiztonsági intelligencia indexe alapján a becslések szerint a kiberbiztonsági incidensek 95%-a emberi mulasztásra vezethető vissza. Az emberek és a technológia a kiberbiztonság két oldala. Bármennyire is fontos a legújabb biztonsági frissítés telepítése egy eszközre, ugyanolyan fontos, hogy a felhasználók óvatosak legyenek, és betartsák a jó kiberhigiéniát. A kiszámítható emberi viselkedés a biztonsági incidensek fő oka, mivel a hackerek sokkal könnyebben alkalmaznak viselkedési mintákat, minthogy a kifinomult biztonsági intézkedéseket kerüljenek meg. Ahogy az emberi tényező az egyik legkihasználhatóbb kiberkockázat, úgy az ember jelenti az első védelmi vonalat minden lehetséges kiberfenyegetéssel szemben.
Fontos, hogy a szervezetek kiberbiztonsági megoldásokat dolgozzanak ki és alkalmazzanak az emberi esendőség kezelésére. Mivel az egyes felhasználók személyes kiberhigiéniai szokásai nagy hatással vannak a szervezet általános biztonságára, a viselkedési közgazdaságtan és az analitika felhasználható annak megértésére, hogy a felhasználók miért hoznak rossz biztonsági döntéseket, például gyenge jelszavakat használnak és irodai eszközöket osztanak meg.
A várhatóan évekig tartó COVID-19 világjárvány hatása miatt sürgősen meg kell védenünk digitális környezetünket. Míg a járvány első évében sokan távolról dolgoztak, most egy elmozdulás történt, mivel a szervezetek egy hibrid munkahelyi modell bevezetésére törekednek. Egy hibrid modellben, ahol az alkalmazottak folyamatosan be- és kiköltöznek az irodákba, így a készülékeik is. Egy ilyen forgatókönyvben, amikor az alkalmazottak munkahetük felét az irodában, a másik felét otthon töltik, kihívást jelent biztonsági gyakorlataik ellenőrzése és szabályozása.
Szervezeti szintű tudatosság
A kiberbiztonsági tudatosság, mint szervezetszintű gyakorlat bevezetésének legegyszerűbb módja, ha felvilágosítjuk a végfelhasználókat a kiberbiztonságban betöltött szerepükről. A legújabb biztonsági alkalmazások bevezetésével kapcsolatos döntéseket CTO szinten hozzák meg, de ezekből az információkból mennyi jut el a végfelhasználókhoz? Például az adathalász e-mailek állandó fenyegetést jelentenek bármely szervezet számára. A Verizon 2019-es adatszivárgás-vizsgálati jelentése szerint a rosszindulatú programtámadások 94%-ában az e-mail volt a kézbesítési mechanizmus. Szinte minden ransomware támadás adathalász hivatkozásokat alkalmaz. Az ismeretlen e-mailben lévő linkre való egyszerű kattintás következményeivel kapcsolatos tudatosságot az egész szervezethez el kell juttatni. Az alkalmazottaknak ismerniük kell a biztonságos gyakorlatot, a vezetőknek pedig biztosítaniuk kell, hogy csapataik éberek maradjanak.
Az alkalmazottaknak különféle biztonsági műveleteket kell végrehajtaniuk, például MFA-használatot, VPN-en keresztüli bejelentkezést és érzékeny adatok titkosítását. A szervezetek úgy is kivehetik a részüket, ha vállalati szintű e-maileket küldenek az alkalmazottaknak, hogy végezzék el az összes szükséges szoftverfrissítést, amint és amikor azok megjelennek. Mivel sok alkalmazott dolgozik távolról, az ilyen időszerű emlékeztetők biztosítják az üzletmenet folytonosságát az emberi hibákból eredő kisebb kockázatok mellett.
Képzés mérhető célokkal
A biztonságos kiberbiztonsági gyakorlatok végrehajtásához az alkalmazottaknak először is tudniuk kell, hogy melyek ezek a gyakorlatok. Ezért minden alkalmazottnak részt kell vennie a kiberbiztonsági tudatosság képzésén. Ahelyett, hogy eszközspecifikusak lennének, a képzési programoknak a kiberbiztonság szélesebb körű megértésére és a biztonságos gyakorlatok alkalmazására kell összpontosítaniuk a szervezet telephelyein és azokon kívül is.
A képzésnek arra kell ösztönöznie az alkalmazottakat, hogy változtassanak magatartásukon és a biztonsági gyakorlatokhoz való hozzáállásukon. Konkrét, mérhető célokkal is kell rendelkeznie, hogy az alkalmazottak tanulása nyomon követhető legyen. Az olyan módszerek, mint az e-learning, lehetővé teszik az alkalmazottak számára, hogy saját tempójukban tanuljanak. A határidők kitűzése összpontosításra és a hallottak értelmezésére ösztönzi őket. A képzési programok hasznosságával kapcsolatos visszajelzéseket rendszeresen be kell gyűjteni az alkalmazottaktól, hogy naprakészen tartsák és lekössék őket.
Az alkalmazottakat arra is meg kell tanítani, hogy határokat szabjanak a távoli munkavégzés során, hogy elkerüljék a személyes zavaró tényezőket, amelyek kockázatos gyakorlatokhoz vezethetnek. Az ilyen gyakorlatok a hibrid munkahelyeken kezelhetetlenné váltak.
A tejles kép megértése
Mivel az adatszivárgások helyrehozhatatlanul károsíthatják a márka hírnevét, a szervezeteknek minden szinten biztonság-szemléletű működési kultúrát kell kialakítaniuk. A kiberbiztonságot integrálni kell a szervezeti kultúra egyéb elemeivel. Minden alkalmazottnak ismernie kell a tudatosság fontosságát, amely a szervezeti adatok és erőforrások biztonságának megőrzésében szerepet játszik. A kiberbiztonságnak minden alkalmazott fő törekvése kell legyen, nem pedig egy figyelmen kívül hagyott informatikai e-mail. A kiberbiztonsági gyakorlatok fontosságát meg kell értetni velük, hogy végül részévé váljanak viselkedési mintáiknak, még az irodai környezeten kívül is, ami elengedhetetlen egy hibrid munkahelyhez.
Így létrehozható egy robusztus kiberbiztonsági stratégia, amely nagyrészt emberek által vezérelt és technológiával integrálva járható utat jelent a hibrid munkahelyi modellben.
