Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Działania security awareness w organizacji

06 marzec 2024

Działania security awareness w organizacji
Aleksandra Kornecka

Aleksandra Kornecka

Świadomość o bezpieczeństwie (z ang. security awareness) praktykowana w poprzek całej organizacji staje się coraz ważniejsza nie tylko pod kątem stricte cyberbezpieczeństwa, ale również z powodu potrzeb zapewnienia ciągłości biznesowej organizacji.

W dobie powszechności ataków phishingowych, ataków typu ransomware, czy prób spowodowania odmowy dostępu (ataki DDoS) podstawowa wiedza o tym, jak się chronić, powinna zagościć u pracowników na stanowiskach zarówno inżynierskich, jak i biznesowych. W niniejszym artykule opiszę jak zbudować zestaw działań, które pomogą zadbać o świa-domość o (cyber)bezpieczeństwie dla organizacji, nawet kiedy dysponuje ona niewielkim zespołem ds. cyberbezpieczeństwa i budżetem. Podzielę się pomysłami na regularne szkolenia, jak i okazjonalne działania, kampanie oraz ich przykładowe implementacje.

Definiowanie obszaru

Świadomość o bezpieczeństwie (z ang. security awareness) w organizacji oznacza wiedzę pracowników o realnych zagrożeniach, umiejętność ich rozpoznania oraz odpowiedniego zareagowania na nie. Zagospodarowanie tego obszaru w organizacji będzie oznaczało zaprojektowanie go w tak, by utrzymywać poziom tej wiedzy u pracowników na satysfakcjonującym poziomie. Drugim elementem jest maksymalizacja odporności czynnika ludzkiego w organizacji na zagrożenia.

Każda organizacja w zależności od swego kontekstu, skali oraz potrzeb biznesowych powinna dokonać wyboru praktyk z obszaru security awareness w odniesieniu do swoich realiów. Również sposób realizacji praktyk przytoczonych w niniejszym artykule powinien zostać skrojony na miarę potrzeb danej organizacji, w zależności od kultury organizacji, narzędzi oraz możliwości budżetowych. W celu doboru środków, treści i formatów działań warto postawić na współpracę działu ds. cyberbezpieczeństwa oraz działu komunikacji, marketingu, Public Relations, bądź dowolnego działu, którego punktem skupienia jest dopasowywanie treści do ludzkiego odbioru.

Stan, do którego organizacje powinny dążyć, to stan wbudowania świadomości o bezpieczeństwie

w kulturę organizacji i promowanie postawy odpowiedzialności każdego pracownika, menedżera i lidera za bezpieczeństwo ze swojej pozycji i w ramach swoich obowiązków. Aby taka sytuacja miała miejsce należy dostarczyć im odpowiednich narzędzi oraz wzorców zachowań i dobrych praktyk, oraz nagradzać za ich stosowanie w różny sposób (nie tylko za pomocą środków pieniężnych). By świadomość o bezpieczeństwie zagościła na stałe w kulturze organizacji, strategia tego obszaru musi być zbieżna z wizją organizacji najwyższego kierownictwa i przez nie promowana. Z kolei działania oddolne wpływają na zrozumienie i rozpowszechnianie dobrych praktyk w codziennych obowiązkach. W kolejnych sekcjach prezentuję pomysły na poszerzanie świadomości o bezpieczeństwie w organizacji.

Dostęp do dokumentów polityki bezpieczeństwa

Ważnym aspektem dbania o świadomość o bezpieczeństwie w organizacji jest łatwy dostęp do dokumentów zawierających polityki bezpieczeństwa oraz zasady panujące w organizacji dotyczące takich kwestii, jak:

  • kontrola dostępu,

  • szyfrowanie,

  • kopie zapasowe,

  • praca zdalna,

  • zarządzanie urządzeniami mobilnymi i stacjami roboczymi,

  • zgłaszanie incydentów.

Dedykowany kanał komunikacji dotyczący bezpieczeństwa

Istotnym czynnikiem zwiększającym propagację oraz zasięg wiedzy oraz aktualnych informacji o bezpieczeństwie oraz zagrożeniach jest stworzenie dedykowanego kanału komunikacji w medium używanym przez całą organizację np. na czacie firmowym bądź w internecie firmowym.

Treści pojawiające się na takim kanale komunikacji to przykładowo:

  • cykliczne informacje o obowiązkowych szkoleniach do wykonania przez pracowników, ostrzeżenia ad hoc o zaistniałych niebezpieczeństwach (np. wyciekach danych w zewnętrznym oprogramowaniu, które mogą wpłynąć na pracę naszej organizacji),

  • informacje o nowych podatnościach (vulnerabilities) dotyczących oprogramowania używanego w naszej organizacji,

  • artefakty okazjonalnych kampanii z zakresu świadomości o bezpieczeństwie, takie jak na przykład Miesiąc Świadomości Cyberbezpieczeństwa, Dzień Prywatności, Dzień Bezpiecznego Internetu itp.,

  • okazjonalne pytania pracowników do zespołu ds. cyberbezpieczeństwa, na które odpowiedzi często pozwalają im szybciej zinternalizować wiedzę i lepiej stosować się do polityk bezpieczeństwa.

Kolejnym istotnym czynnikiem jest regularne prowadzenie takiego kanału komunikacji. W znacznym stopniu można zautomatyzować prowadzenie kanału dzięki dostępnym integracją w ramach używanych narzędzi, bądź gotowych wzorców automatów, a także dodaniu zewnętrznych skryptów automatyzujących działania.

Czy będzie to format newslettera mailowego, kanału na komunikatorze Slack bądź Teams, czy też grupy na zamkniętym forum firmowym, z pewnością pomoże to pracownikom odszukać i śledzić informacje.

Szkolenie dla nowych pracowników (security onboarding)

Zagadnienia bezpieczeństwa systemów informatycznych oraz poufność danych powinny znaleźć się w programie obowiązkowych szkoleń dla nowych pracowników, niezależnie od ich roli oraz pozycji w hierarchii organizacji. Każdy może być obiektem ataku lub źródłem podatności.

W wersji minimalnej powinno być to kilka punktów lub slajdów w szkoleniu ogólnym, a w wersji idealnej osobne dedykowane szkolenie prowadzone przez pracownika zespołu ds. cyberbezpieczeństwa. Najważniejsze dokumenty polityki bezpieczeństwa organizacji powinny zostać załączone do szkolenia lub włączone w treści samego szkolenia.

Dobrą praktyką jest stosowanie quizu lub testu sprawdzającego na koniec szkolenia, bądź inne formy wzmocnienia przekazu. Takie szkolenie powinno zostać przypominane co najmniej raz do roku dla aktualnych pracowników.

Security Champions Programme (Program Liderów Bezpieczeństwa)

Program ten jest kluczowy do utrzymania wysokiej świadomości o zagrożeniach wśród kadry technicznej, ale może świetnie posłużyć również osobom piastującym stanowiska stricte bizneso-we. Dzięki niemu można odciążyć zespół ds. cyberbezpieczeństwa pod względem dbania o pojedyncze projekty i zespoły oraz wzmocnić oddolnie postawę bezpieczeństwa (security postu-re) w całych zespołach.

Istotą programu security champions jest zbudowanie w organizacji społeczności (community) osób zainteresowanych tematyką cyberbezpieczeństwa, które chcą pogłębiać swoją wiedzę w tym zakresie oraz być liderami bezpieczeństwa w swoich zespołach. Stają się oni również pierwszymi punktami kontaktu dla zespołu ds. cyberbezpieczeństwa (points of contact).

Członkowie społeczności mogą uzyskiwać rozmaite korzyści (niekoniecznie finansowe) w za-mian za swoje zaangażowanie oraz krzewienie zasad bezpieczeństwa w zespołach.

Poza swego rodzaju prestiżem wśród zespołów, security champion może otrzymać:

  • możliwość uczestnictwa w wymarzonych szkoleniach,

  • wyjazd na konferencje branżowe,

  • dostęp do platform treningowych typu HackTheBox

  • subskrypcję albo udział w zawodach typu Capture The Flag.

Oczywiście, jeśli budżet organizacji na to pozwala, można również nagradzać okresowymi nagrodami rzeczowymi, które są praktycznymi pomocnikami w pracy. Mo-gą to być przykładowo słuchawki, gadżety chroniące komputer, brandowane gadżety firmowe itp. Szkolenia i zawody Capture The Flag mogą być też organizowane w samej organizacji przez zespół ds. cyberbezpieczeństwa, jeśli pozwalają na to zasoby zespołu.

Dobry program powinien zawierać formę grywalizacji, w wyniku której członek społeczności może zdobywać kolejne poziomy wtajemniczenia, poziomy wiedzy, a tym samym poziomy korzyści. W przytoczonych poniżej przykładach zakładamy, że program security champions dedykowany jest pracownikom na stanowiskach inżynierskich. Każdy kandydat na security championa powinien realizować podstawowe zadania wymagane do otrzymania miana security championa. Przykładowo, wykonać podstawową analizę ryzyk dla swojego zespołu albo sprawdzić, czy jego zespół spełnia podstawowe wymogi nakładane przez zespół ds. cyberbezpieczeństwa na proces wytwórczy aplikacji.

Przykładem takiej grywalizacji może być przyznawanie odznak (lub tzw. badges) o różnych kolorach symbolizujących zaawansowanie security champio-na. Kolejne odznaki (np. biała > żółta > zielona > niebieska > czarna) można osiągać po spełnieniu warunków przewidzianych na dany kolor. Im wyższa odznaka, tym ilość odznak do zdobycia powinna być bardziej limitowana. Po osiągnięciu czarnej odznaki security champion może ubiegać się o przyjęcie do zespołu ds. cyberbezpieczeństwa.

Warunki do spełnienia, by uzyskać konkretną odznakę, mogą być różne. Udokumentowane ukończenie poszczególnych szkoleń, realizacja konkretnych zadań dla swojego zespołu, aktywności w ramach samego programu security champions.

Przykład zestawu warunków na uzyskanie pierwszego poziomu wtajemniczenia i pierwszej odznaki:

  • ukończenie szkolenia uczącego jak wykorzystać program statycznej analizy kodu skanujący repozytoria zespołu pod kątem podatności aplikacji na zagrożenia wylistowanie w OWASP Top Ten,

  • zintegrowanie wspomnianego programu w cykl wydania kodu w repozytoriach zespołu,

  • monitorowanie znajdowanych przez program podatności i egzekwowanie ich naprawy w zespole,

  • przygotowanie i przeprowadzenie prezentacji na temat aspektu bezpieczeństwa istotnego dla organizacji.

Warunki pozwalające uzyskać kolejne kolory od-znak powinny charakteryzować się coraz większą złożonością lub stopniem trudności, ale pozostawać nadal przydatne dla bezpieczeństwa organizacji oraz zespołów. Prowadzenie programu security champions jest sporym obciążeniem czasowym, ale może mieścić się w ramach etatu osoby, najlepiej z zespołu ds. cyberbezpieczeństwa, która dysponuje dobrymi umiejętnościami miękkimi i komunikacyjnymi.

W zależności od ilości członków programu, zasobów szkoleniowych oraz aktywności członków społeczności, zaangażowanie może się wahać między 5 a 10 roboczogodzin tygodniowo. 

Inne formy wzmacniania świadomości o bezpieczeństwie w organizacji

Poza opisanymi już szerzej działaniami, inne warte realizacji to:

  • CyberSecurity Awareness Month (Miesiąc Świadomości o Cyberbezpieczeństwie) — miesiąc, na przykład październik, pełen pre-zentacji, filmów i materiałów edukacyjnych na tematy bezpieczeństwa najważniejsze aktualnie dla organizacji,

  • Privacy Day (Dzień Świadomości o Prawie do Prywatności),

  • trening rozpoznawania i reagowania na wiadomości phishingowe, próby wyłudzeń danych (email, smishing, vishing, social media),

  • kampanie wewnątrz organizacji symulujące phishing (a potem trening wzmacniający dla pracowników, którzy ulegli oszustwom),

  • wykorzystanie ogólnofirmowych spotkań wymiany wiedzy (Technical Exchange, Knowledge Sharing sessions itp.) do prezentacji uświadamiających o bezpieczeństwie oraz zagrożeniach.

Podsumowanie

W obecnych czasach warto inwestować w odpowiednie zabezpieczenia. Jednym z “nietechnicznych”, ale niezwykle istotnych zabezpieczeń jest świadomość członków organizacji o zagrożeniach oraz sposobach ochrony.

 

 

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności