Računalništvo, telefonija
22.01.2016 09:39
Posodobljeno 8 let nazaj.

Deli z drugimi:

Share

Izobraževanje zaposlenih na področju informacijske varnosti je najboljša obramba podjetja

Z razvojem družbe smo se v zadnjih desetletjih navadili na zaklepanje vrat, vgradnjo alarmov in druge ukrepe, s katerimi zavarujemo pomembne dobrine. Danes pa se najpomembnejša področja naših življenj – tako zasebnih kot poslovnih – selijo v virtualni svet. Zato postaja izjemnega pomena osveščenost in zavedanje, da moramo tudi v našem virtualnem okolju sprejeti še celo pazljivejše in strožje varnostne ukrepe, da zavarujemo svoje in poslovne podatke.
Informacijska varnost in najpogostejša varnostna tveganja v podjetjih
Informacijska varnost in najpogostejša varnostna tveganja v podjetjih

Vsak dan lahko preberemo o kakšnem novem vdoru v informacijski sistem podjetja, kraji ali izgubi podatkov ter finančnih izgubah, ki so s tem povezane. V zadnjem letu je marsikatero slovensko podjetje prizadel izsiljevalski virus (kriptovirus), ki je zašifriral vse aplikacije, programe in podatke podjetja ter jih odšifriral le v zameno za visoke zneske denarja. A kljub temu večina srednje velikih in majhnih podjetij še zmeraj ne izvaja rednega izobraževanja zaposlenih na področju informacijske varnosti.

Zakaj je osveščenost uporabnikov tako izjemnega pomena?

Rezultati mednarodnih raziskav kažejo, da zaposleni predstavljajo eno izmed največjih groženj za informacijsko varnost podjetja. Vsak dan se zgodi več kot 1.350,000 vdorov in sleherno sekundo jih sistemi zabeležijo kar 16. Za kar 41% izmed njih gre pripisati krivdo človeški napaki.

Vsak izmed teh vdorov lahko podjetje stane ugleda, izgube dobička ter plačila vrtoglavih izdatkov za pravne stroške (izplačila odškodnin prizadetim, plačila glob, itd.). Neosveščenost in nepazljivost zaposlenih lahko povzroči propad podjetja, saj lahko že prvi resen vdor podjetje tako onesposobi, da si le-to več nikoli ne opomore.

Nekateri predpisi in standardi (npr. ISO/Sarbanes-Oxley Act, Payment Card Industry Data Security Standard, ISO 27002 – ta velja tudi za naše območje) že predpisujejo trening varnostnega osveščanja za zaposlene – nekateri izmed teh celo kot obveznega.

Konkretni primeri nevarnega ravnanja zaposlenih

Nepazljivi zaposleni pozabi svoj telefon v taksiju. Ker nima nastavljenega gesla za zaklep zaslona, lahko vsakdo brska po njegovi službeni elektronski pošti ter se dokoplje do izjemno občutljivih (ali celo zaupnih) podatkov podjetja, ki jih posreduje konkurenci ali jih zlorabi kako drugače.

Veliko zaposlenih prenaša službene mobilne naprave s seboj in jih med različnimi opravki pušča v avtu (nekateri izmed njih celo na vidnem mestu), s čimer jih močno izpostavijo nevarnosti tatvine. Takšne naprave skoraj brez izjeme vsebujejo veliko število občutljivih podatkov podjetja, pa tudi osebnih podatkov zaposlenih oz. poslovnih partnerjev. Prav tako večina uporabnikov podatkov na svojih mobilnih napravah še vedno nima šifriranih, zato se podatkov na njih zlahka polasti vsakdo, ki dobi fizični dostop do naprave.

Zaposleni, ki niso osveščeni o tem, kako sestaviti varno geslo, kako zanj skrbeti, ga hraniti in menjavati, bodo zlikovcem olajšali delo: bodisi bodo uporabljali geslo, ki ga sistemi za vdor zlahka uganejo (npr. geslo, password, 1234, superman) bodisi ga bodo zapisali na post-it listek ter ga prilepili na vidno mesto v pisarni (kar bo dalo možnost vsakomur, da ga prebere in zlorabi) bodisi bo njihovo geslo ostalo enako nekaj let, kar pomeni, da bodo zanj morda vedeli še vsi že upokojeni sodelavci.

Najslavnejši heker vseh časov – Kevin Mitnick ni zaslovel zaradi svojih tehničnih znanj, marveč s svojo prepričljivostjo in sposobnostjo manipuliranja z ljudmi. Da se je dokopal do potrebnih podatkov, je izrabil neosveščenost in zaupanje zaposlenih, ki so mu le-te prostovoljno priskrbeli. Če bi poklical vašega zaposlenega ter se predstavil kot vzdrževalec informacijskega sistema, ki potrebuje geslo, da preveri delovanje sistema, bi mu ga vaša računovodkinja razkrila? Če je odgovor pritrdilen, bi lahko bil račun vašega podjetja že naslednji dan prazen.

Protivirusni programi, požarni zidovi in druga programska oprema, ki informacijski sistem ščiti pred zlonamerno programsko kodo ter vdori, je dobra in učinkovita lahko le toliko, koliko je osveščen in vesten njen uporabnik: če uporabnik teh programov ne posodablja dovolj pogosto ali jih celo izklopi, neizogibno tvega okužbo.

Virusi se ne skrivajo le na sumljivih spletnih straneh, marveč tudi v obliki okužene elektronske pošte. Virus aktivirajo neosveščeni uporabniki včasih že s tem, da zgolj odprejo okuženo elektronsko pošto, nemalokrat pa tudi s tem, ko odprejo njegovo priponko ali kliknejo na URL povezavo, ki se nahaja v sporočilu. Tako (če spomnimo le na prejšnje leto najbolj aktualnega – kriptovirus) lahko zaposleni ogrozijo celotno poslovanje podjetja.

Rešitev je v informiranju in izobraževanju o varnosti

Statistike so zastrašujoče in posledice so za podjetja uničujoča. A svetla plat medalje je, da ima podjetje rešitev že na dosegu roke: to so zaposleni.

Za doseganje optimalne stopnje informacijske varnosti je potrebno začeti z osveščanjem in izobraževanjem zaposlenih. Seznaniti jih je potrebno z dobrimi praksami ter poskrbeti, da jim dosledno sledijo, hkrati pa jim je potrebno omogočati dostop do podpore v primeru nejasnosti ali težave. Pri tem ne gre spregledati, da enkratno izobraževanje ni dovolj. Grožnje ne počivajo, zato je osvojeno znanje potrebno redno obnavljati, nadgrajevati ter ga preverjati.

Končni cilj varnostnega osveščanja zaposlenih je, da le-ti postanejo najpomembnejši gradnik informacijske varnosti vsakega podjetja.

Avtor: Taja Andrej


Prijavi napako v članku

Članek je pripravljen v sodelovanju s partnerjem EUDACE d.o.o.
Za več informacij so vam na voljo pri EUDACE d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Informacijska varnost in najpogostejša varnostna tveganja v podjetjih

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem EUDACE d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

SoftNET d.o.o.

Borovec 2, 1236 Trzin, Tel: 01 810 01 00
Vse telekomunikacijske storitve na enem mestu V podjetju ni nič pomembnejšega kot dobra telekomunikacijska povezanost, tako znotraj kot zunaj podjetja. Podjetje SoftNET vam s ... Več

e-asist d.o.o.

Taborska cesta 19, 1230 Domžale, Tel: 040 879 080
Težave s tiskalniki? In to ravno takrat, ko imate največ dela? Z vključitvijo naprav v sistem nadzora, vam podjetje e-asist d.o.o. lahko zagotovi najmanjše število okvar ... Več

TRACE BS d.o.o.

Opekarniška cesta 5, 2270 Ormož, Tel: 05 905 23 81
V skupini Trace Solutions, katere del sta Trace BS Poslovne rešitve d. o. o. in Trace IS Informacijske rešitve, se ukvarjajo z razvojem, prodajo in uvajanjem istoimenske programske ... Več

MITS d.o.o.

Butari 20a, 6272 Gračišče, Tel: 040 895 342
Bodite pozorni pri izbiri pravega ponudnika programskih rešitev za gostinstvo, hotelirstvo in druge storitvene dejavnosti. Večina ponuja le generične oblike rešitev, ki ne zadostujejo ... Več