Chabá bezpečnostní kultura otevírá dveře vnitřním hrozbám

Zpět na blog

Od vedení společnosti se očekává, že povede společnost správným směrem. Jak je vedení schopné se projeví také v oblasti kybernetické bezpečnosti. Pokud vedení nepřijme silné bezpečnostní postupy, je velká šance, že stejný přístup pronikne i do zbytku společnosti, což vede k většímu riziku vnitřních hrozeb.

Spolehlivá bezpečnostní kultura nevzniká jen tak. Mnoho organizací považuje zabezpečení za zodpovědnost týmu kybernetické bezpečnosti, respektive IT oddělení. Místo toho jde o proces, do kterého je zapojen každý jednotlivec v organizaci. Zaměstnanci jsou přínosem pro budování a udržování bezpečnostní kultury, a to tak, že se všichni ve firmě stanou rovnocennými partnery, jejichž cílem je ochrana firemních dat.

Bezpečnostní týmy jsou často vnímány jako „oddělení zákazů“, které rychle škrtá oprávnění k aplikacím, webovým stránkám a všeobjímajícím přístupům k síti. Bezpečnostní tým vidí rizika, která zbytek zaměstnanců bohužel vnímá jako omezování produktivity. Čím více si však zaměstnanci uvědomí svůj přínos pro bezpečnost, tím více se v oblasti bezpečnosti orientují a angažují. A čím jsou zaměstnanci zdatnější v oblasti kybernetické bezpečnosti, tím lépe rozpoznávají hrozby a tím menší je pravděpodobnost, že se promění v interní hrozbu.

Aktéři hrozeb využívají chabé bezpečnostní kultury

Kybernetičtí zločinci neustále hledají slabá místa, kudy proniknout do firemních sítí, a nejjednodušší způsob, jak toho dosáhnout, je najít nejslabší článek uvnitř. Aktéři hrozeb využívají nedostatečných bezpečnostních návyků a chabé bezpečnostní kultury.

Silná bezpečnostní kultura má například zavedené systémy vyžadující silná hesla a vícefaktorové ověřování s pracovníky, kteří nejen chápou potřebu jedinečných hesel, ale také tento postup uplatňují v praxi. A pak nastane situace, jako byl hack společnosti SolarWinds, který zahrnoval průnik pomocí slabého hesla.

Toto selhání samo o sobě mohlo být prostou chybou někoho bez solidního bezpečnostního zázemí, ale při bližším pohledu vyvolává otázky týkající se kultury zabezpečení. Zaprvé, proč bylo vytvoření slabého hesla vůbec povoleno? Zadruhé, z chyby byl obviněn stážista; poté bylo oznámeno, že heslo bylo určeno pro dodavatele třetí strany. Silná bezpečnostní kultura by měla mít zavedené systémy pro důkladnou správu hesel a také dobře připravený tým pro reakci na kybernetické incidenty. Silná bezpečnostní kultura také chrání své pracovníky, místo aby veškerou odpovědnost házela na nejnižší osobu na pracovním žebříčku.

Budování pozitivní kultury zabezpečení

Chyby se stávají, a i ten nejzkušenější uživatel, který je erudovaný v oblasti zabezpečení, jednou za čas otevře phishingový e-mail nebo použije aplikaci bez povolení. Uživatelé jsou lidé. Organizace musí přestat uživatele hanět, když udělají chybu. Bezpečnostní týmy a vedení nejenže chtějí, aby zaměstnanci byli upřímní, ale potřebují také okamžitě dobře komunikovat o každém potenciálním ohrožení, aby bylo možné hrozbu rychle řešit. Obviňování uživatelů snižuje jejich ochotu přihlásit se. Zaměstnavatel by měl vytvořit takové prostředí, kde jsou zaměstnanci pravidelně školeni a v případě neúmyslného incidentu, nejsou neúměrně perzekuováni.

Zdroj: Securityboulevard

4. 2. 2022