Három tanács a vállalati biztonsági oktatáshoz
Számos olyan alkalmazott dolgozik a különféle szervezeteknél és vállalatoknál, aki a számítógépet csak a legalapvetőbb feladatokra tudja használni. Emiatt a belső fenyegetés komoly probléma lehet a legtöbb helyen. Belső fenyegetést jelenthet egy kártevőt tartalmazó e-mail, egy rosszindulatú alkalmazott, vagy akár egy olyan ártatlan munkavállaló is, akinek ellopták a belépési adatait, esetleg feltörték a számítógépét. Annak érdekében, hogy csökkentsék a belső fenyegetést, a szervezeteknek rendszeresen tovább kell képezniük alkalmazottaikat a legfrissebb támadási módszerekkel és veszélyekkel kapcsolatban. Ehhez ad néhány tanácsot a téma egyik hazai szakértője, a NetIQ Novell SUSE Magyarországi Képviselet.
1. Terjesszük ki a felelősséget!
Az oktatás során meg kell változtatni az alkalmazottak gondolkodásmódját a kiberbiztonságról. Nem szabad, hogy egyedül a biztonsági vagy az informatikai csapat feladatának tartsák a vállalat védelmét a kibertámadásoktól. Hiszen hiába építenek ki erős védvonalat az IT-szakemberek a cégben, ha az alkalmazottak nincsenek tisztában azzal, milyen komoly károkat okozhatnak a szabályok figyelmen kívül hagyásával. Minden munkatársnak fel kell mérnie és meg kell értenie, milyen felelőssége van abban, hogy a vállalat biztonságban legyen.
A kiberbűnözők sok esetben építenek a vállalati alkalmazottak tájékozatlanságára, például az adathalász kísérletek során. Amikor az ilyen levelek felismerésére oktatjuk az alkalmazottakat, mindenképpen ki kell térnünk arra is, mekkora károkat okozhatnak a vállalatnak azzal, ha bedőlnek az átverésnek. Érzékeltetnünk kell velük, milyen felelősséggel járhat akár minden egyes kattintás.
![](/download/viewattach/114657/1/0/935245-1306987230.jpg)
2. Tartsunk rendszeres oktatásokat!
Egyszeri tájékoztatás nem elég, hiszen az információ feledésbe merülhet, ráadásul folyton új veszélyek és támadási módszerek jelennek meg, amelyekről a lehető leghamarabb informálni kell minden munkatársat, aki potenciális célpont lehet. Márpedig napjainkban ez minden olyan munkatársra igaz, aki internetkapcsolatot használ.
Emellett az is fontos, hogy a kiberbiztonsághoz kapcsolódó információkat könnyen elérhetővé és jól kereshetővé tegyük az alkalmazottak számára, hogy egy-egy kérdéses esetben maguk is egyszerűen utánanézhessenek, vajon potenciális veszéllyel állnak-e szemben egy-egy szituációban.
Hiába költ vagyonokat a szervezet védelmi és megelőző szoftverekre, ha az alkalmazottak nem tudják azokat megfelelően használni, illetve nincsenek tisztában az alapvető biztonsági szabályokkal és felelősségekkel. Az alkalmazottak tudása ezen a téren is hatalom, csak ezzel együtt teljes a védelem.
3. Csökkentsük az alvállalkozókhoz kapcsolódó kockázatokat!
A teljes munkaidős alkalmazottak oktatása nem elég. Komoly kockázatot jelenthetnek azok a partnerek, beszállítók, alvállalkozók is, akik hozzáférnek az IT hálózathoz. Az egyik nagy amerikai boltlánc ellen például úgy indítottak támadást két éve, hogy a hűtő- és fűtőrendszert karbantartó vállalat belépési adatait lopták el. Az alvállalkozót egy malware e-mail segítségével támadták meg két hónappal azelőtt, hogy a támadók elkezdték volna összegyűjteni és ellopni az áruházlánc vásárlóinak hitelkártyaadatait.
Mivel hozzáféréssel rendelkeznek a vállalat érzékeny adataihoz, fontos, hogy az alvállalkozók is részesüljenek a kiberbiztonsági oktatásban. Ha a vállalat olyan partnerrel dolgozik, amelynél nincs hasonló képzés házon belül, akkor gondoskodni kell arról, hogy csak megfelelő tájékoztatás után kapja meg az alvállalkozó a hozzáférést a hálózathoz, adatokhoz és erőforrásokhoz.
Ezzel egyidejűleg az adott szervezetnek arra is figyelmet kell fordítani, hogy a saját informatikai munkatársait megfelelően képezze az alvállalkozói hozzáférések kezelésére és figyelésére, illetve a partnernél felmerülő esetleges hibák felismerésére. A fent említett példánál a hűtő- és fűtőrendszer karbantartója egy ingyenes, lakossági felhasználóknak szánt anti-malware szoftvert használt a vállalati szintű védelmet garantáló, teljes licenc helyett, ami a jelek szerint nem volt elégséges.
Kapcsolódó cikkek
- Az eltérített Dolgok Internete
- Katasztrófa utáni helyreállítás a felhőből
- Barracuda NG Firewall tűzfal új funkciókkal és frissítésekkel
- NetIQ Sentinel 7.3: valós idejű védelem és jól átlátható adatok
- A kiberfenyegetés mindenkit érint: az ellenség már a házban van
- NetIQ Secure Configuration Manager 6.0: a biztonsági előírások szakértője és őre
- Hat NetIQ tipp, ha a belső személyek jelentenek veszélyt
- Iskolai tananyag lehet az internet-biztonság
- Integrált NetIQ-Cisco termékek, biztonságosabb hálózatok
- Négy tanács a biztonsági stratégia korszerűsítéséhez