Szkolenie z bezpiecznego korzystania z zasobów IT

Podczas prowadzonych przez nas często audytów bezpieczeństwa oraz szkoleń, często spotykamy się z brakiem zrozumienia dla tematu związanego z edukacją pracowników pod kątem bezpieczeństwa systemów teleinformatycznego.

 

Nie do końca jesteśmy w stanie zrozumieć takie podejście. Należy zwrócić uwagę bowiem na to, że obowiązkiem pracodawcy jest dostarczyć pracownikowi odpowiednie narzędzia, dzięki którym będzie mógł wykonywać swoje obowiązki.

Każdego nowego pracownika (zatrudnionego na podstawie umowy o pracę) – mamy obowiązek przeszkolić z BHP, powinniśmy przeprowadzić instrukcję stanowiskową.
Często też nowo zatrudnione osoby szkolone są z aktualnej oferty sprzedażowej spółki, z narzędzi stosowanych w spółce (obsługa oprogramowania, nowego sprzętu).

 

W tym każda firma widzi sens: część ze szkoleń to obowiązki wynikające z litery prawa, część ma wymierny wynik tuż po ich przeprowadzeniu (trudno wymagać, żeby nasz pracownik sprzedawał skutecznie nasze produkty nie znając oferty, albo żeby się poruszał w naszym np.: CRM, kiedy widzi go po raz pierwszy na oczy).

 

Dlaczego jednak pracodawcy nie dostrzegają zagrożeń wynikających z braku edukacji dotyczącej bezpiecznego poruszania się po zasobach systemów IT? Dlaczego obowiązek posiadania takiej wiedzy jest zrzucany bezpośrednio na pracownika pod pojęciem – biegła znajomość obsługi komputera?

 

Należy cały czas pamiętać, że nie każdy pracownik musi się interesować tematami związanymi z bezpieczeństwem, nie musi śledzić aktualnych zagrożeń. Można też spojrzeć na to inaczej – nie musi znaleźć czasu na to,  bo może być przytłoczony swoimi codziennymi obowiązkami, zarówno tymi związanymi z pracą jak i prywatnymi. Poza tym, nie każdy musi specjalizować się w wielu dziedzinach – może dobry księgowy, czy też pracownik działu marketingu, nie musi zarazem być specjalistą IT d.s. bezpieczeństwa.

 

Jak można takiej osobie pomóc i dlaczego powinno to być również w interesie pracodawcy?

Naszym zdaniem bardziej ważnym niż przeszkolenie z obsługi nowego programu jaki wdraża w Waszej firmie dostawca, jest cykliczne szkolenie pracowników z niebezpieczeństw czyhających na nich w sieci. Dlaczego?

 

Należy mieć na uwadze, że coraz więcej procesów (na szczęście) odbywa się w systemach IT, mało kto może sobie wyobrazić pracę bez dostępu do maila, Intranetu, czy innych aplikacji typowo korporacyjnych. Co więcej (jeśli firma nie stosuje obostrzeń), to również w godzinach pracy jej pracownicy mogą korzystać z dostępu do social media, prywatnej poczty e-mail, portali aukcyjnych, itd. A wszystko to odbywa się na służbowym sprzęcie, często na tym samym na którym osoby te przetwarzają nasze firmowe dane (dane osobowe, dane stanowiące tajemnicę spółki, inne podobne).

 

Oczywiście – z czym się zgadzamy, możliwym jest zakupienie i zainstalowanie w firmie narzędzi ograniczających dostęp do Internetu, kontrolujących poczynania pracowników w sieci – lecz należy pamiętać, że mogą one być bezskuteczne, gdy:

  1. Pracownicy nie będą rozumieć ich celu (będą szukać prób ich obejścia)
  2. Ktoś zastosuje na nich atak ukierunkowany (z wykorzystaniem podatności w aplikacjach, lub socjotechniki).

Czy w takich przypadkach należy winić pracowników za wyciek, albo utratę danych?

A co jeśli byśmy zapobiegli temu w inny sposób?

 

Wystarczy, żeby każdego nowego pracownika w ramach zapoznania się z procesami Waszej firmy przeszkolić nie tylko z tematów wymaganych przez prawo, ale również z zakresu bezpieczeństwa informatycznego.

Jakie elementy powinny znaleźć się w planach szkolenia? Zalecamy aby minimalnie były to następujące obszary:

  1. Dlaczego Ty możesz być celem ataku?
    Często pracownicy wychodzą z założenia, że nie posiadają istotnych danych, że nikt nie będzie się nimi interesował. Jest to błędne podejście.
  2. W jaki sposób cyberprzestępcy będą próbowali pozyskać informacje o Tobie?
    Osoby szkolone musza zrozumieć, skąd można uzyskać informacje o Waszej firmie i właśnie o nich (dane dostępne w internecie, media społecznościowe, własne publikacje, metadane plików, itd.)
  3. Co to są ataki socjotechniczne i jak się przed nimi uchronić?
    W tym punkcie należy zwrócić uwagę na to w jaki sposób (nie do końca związany z IT) mogą być celem ataku (np. prezenty, pan kanapka, podrzucony pendrive z napisem – podwyżki Q2).
  4. Jak wykryć próby ataków phishingowych?
    Pracowników nietechnicznych należy uświadomić na co należy zwrócić uwagę w mailach które otrzymują (pole nadawcy, odnośniki znajdujące się w mailach, załączniki). Jest to bardzo istotne, gdyż mimo informacji jakie publikują nawet serwisy newsowe w telewizji, nadal dość często pracownicy (nawet dużych korporacji) dają się złapać na pułapki stosowane przy takim wektorze ataku.
  5. Dlaczego hasła są tak istotne?
    Osoby zatrudnione w Twojej firmie muszą zrozumieć, dlaczego do haseł należy podejść jak do majtek, zgodnie z zasadą: https://giodo.gov.pl/pl/259/7321
  6. Co należy zrobić kiedy padniemy ofiarą ataku, albo podejrzewamy że mogło do niego dojść?
    Często pracownicy nie wiedzą jak zachować się w takich chwilach.
    Po pierwsze, w obawie, że spotka ich kara służbowa mogą obawiać się poinformować odpowiednie osoby o zdarzeniu (dzięki temu przestępca może jeszcze dłużej działać w ukryciu).
    Po drugie – jest co prawda na to procedura – kiedyś ktoś o niej mówił, jak pracownik przyszedł do nas, jednak było to tak dawno temu, że nie pamięta gdzie ona się znajduje, nie wie do kogo się zgłosić, więc ponownie nie wykonuje nic więcej.
    Po trzecie – obowiązująca procedura może być nieaktualna, wtedy pracownik także nie będzie wiedział jak się zachować.

To nie są oczywiście wszystkie tematy, ale wyżej podane uważamy za minimum z jakim należy się zmierzyć.

Należy pamiętać, że szkolenie musi być prowadzone w jak najprostszy sposób (jego odbiorcy nie zawsze będą osobami technicznymi), powinno być interaktywne – mimo prostej formy przekazu danych nie wszystko musi być zrozumiałe dla jego uczestników. Warto także po szkoleniu przeprowadzić test wiedzy dla pracowników – w ten sposób upewnimy się skutecznie, że opanowali oni prezentowany materiał.

Kto może przeprowadzać szkolenia?
Może to być dedykowana komórka w Państwa firmie, może to być też zewnętrzny dostawca, taki jak nasza firma (oczywiście do współpracy gorąco zachęcamy 🙂 ).

O czym należy pamiętać?
Szkolenia to nie jedyna forma w jakiej możemy przekazywać wiedzę pracownikom (chociaż tę uważam za najskuteczniejszą). Można jednak dodatkowo (co zalecamy) informować Wasz zespół o nowych, poważnych zagrożeniach jakie są dostępne w internecie (np. nowa kampania mailowa) za pomocą intranetu/wiadomości pocztowych.

Czy szkolenie uchroni nas w 100% przed problemami?

Z całą pewnością nie, słabym ogniwem w mechanizmach ochrony zawsze są ludzie, ktoś może się pomylić, lub zrobić coś złośliwie, jednak jeśli go nie przeszkolimy odpowiednio i nie pokierujemy – ryzyko jest znacznie, znacznie większe…

Masz pytania lub chcesz z nami współpracować?