Cyberbezpieczeństwo mocno kuleje. Pracownicy kłopotem dla firm

Przede wszystkim pracownicy powinni rozumieć konsekwencje naruszenia bezpieczeństwa, mieć świadomość w jaki sposób może ono wpłynąć na firmę i na nich samych. Znaczenie takiego strategicznego podejścia w skali całego przedsiębiorstwa zostało podkreślone w ankiecie Forbes Insights z 2019 roku, przeprowadzonej wśród ponad 200 osób na stanowisku CISO (Chief Information Security Officer). Zapytani o działania z zakresu bezpieczeństwa, jakie planują wdrożyć w ciągu najbliższych pięciu lat, 16 proc. zwróciło uwagę na tworzenie „kultury bezpieczeństwa”.

Jest to krok w dobrym kierunku, a wszystkie procesy związane z cyberhigieną powinny uwzględniać działania CISO. Ich rolą jest uświadomienie pracownikom konieczności przemyślanego działania w sieci. Można to osiągnąć na różne sposoby.

Jak wynika z ankiety firmy Trend Micro, 85 proc. respondentów przyznaje, że instrukcje dotyczące bezpieczeństwa wydawane przez kierownictwo traktuje poważnie. 81 proc. natomiast zgadza się z twierdzeniem, że bezpieczeństwo teleinformatyczne to sprawa, za którą również pracownicy są odpowiedzialni. Wreszcie - 64 proc. badanych stwierdziło, że zgadza się ze stwierdzeniem iż korzystanie z prywatnych aplikacji na urządzeniach służbowych stwarza ryzyko dla cyberbezpieczeństwa w pracy.

Wiceprezes Trend Micro ds. badań nad bezpieczeństwem Rik Ferguson ocenił, że to naprawdę pocieszające - widzieć tyle osób, które poważnie traktują porady zespołów informatycznych w swoich firmach. Jednocześnie w takiej chwili dziwi postawa 15 proc. pozostałych, którzy podchodzą do tego inaczej.

- Jednocześnie ci sami ludzie przyjmują swoją rolę w łańcuchu bezpieczeństwa w ramach organizacji, której są częścią. Omawiane problemy przekładają się na świadomość i konkretne zachowania - dodał. - Żeby to wzmocnić, firmy i organizacje muszą brać pod uwagę wewnętrzną różnorodność i dostosowywać treści szkoleniowe do konkretnych grup pracowników - poradził ekspert.

Jak działają cyberprzestępcy?

Ataki socjotechniczne wciąż są bardzo skuteczne. Według raportu firmy Verizon, 1/3 przypadków kradzieży poufnych danych ma miejsce głównie za sprawą phishingu oraz smishingu (czyli z wykorzystaniem phishingowych wiadomości SMS). Szkolenia dla pracowników powinny zawierać m.in. takie elementy, jak rozpoznawanie phishingowych wiadomości.

Czytaj więcej: W czasie pandemii pracownicy groźni, jak nigdy wcześniej. Firmy muszą uważać

Bowiem pracownicy IT nie są w stanie sami zadbać o bezpieczeństwo w firmie, zwłaszcza, że cyberzagrożenia stają się coraz trudniejsze do wykrycia. Korzystna dla przedsiębiorstwa byłaby współpraca pomiędzy zespołem ds. bezpieczeństwa, a pozostałymi pracownikami. Podczas gdy eksperci z obszaru IT będą służyć fachową wiedzą, inne działy odegrają kluczową rolę, np. w opracowaniu zasad cyberhigieny. Efekty ich współpracy pomogą pracownikom zdalnym i stacjonarnym lepiej zrozumieć zasady cyberochrony.

– Będąc częścią zespołu, pracownicy mogą zwracać większą uwagę na zachowania, które stwarzają potencjalne zagrożenie dla bezpieczeństwa firmy. Im więcej pracowników będzie się do tego poczuwało, tym większa szansa na uniknięcie zagrożeń – mówi Jolanta Malak.