Dacă cel mai celebru fost hacker din lume, Kevin Mitnick, are dreptate, iar „veriga slabă din orice sistem IT rămân oamenii”, atunci o cultură de securitate cibernetică ține de schimbarea de mentalitate și trebuie întemeiată pe înțelegerea și respectarea elementelor de bază în materie de protecție digitală.

Poate că mulți sunt tentați să creadă că doar utilizatorii obișnuiți generează probleme. Mai ales că un studiu din 2022 al Verizon arată că 82% dintre breșele de securitate au implicat „elementul uman”, fie că vorbim despre angajați care expun informații în mod direct și voit sau prin greșeli neintenționate, care permit atacatorilor să acceseze sistemele organizației.

O abordare superficială au însă și managerii, iar o analiză recentă realizată de Bitdefender raportează că 42% dintre specialiștii de securitate cibernetică sunt încurajați de către conducere să păstreze confidențialitatea cu privire la breșele de securitate, iar 30% dintre aceștia o fac din proprie inițiativă.

Cum rămâne însă cu procedurilor prevăzute de GDPR care prevăd raportarea în 72 de ore a oricărui incident care duce la compromiterea datelor confidențiale? Sau cu actuala lege a securității cibernetice care impune un termen de 48 de ore pentru raportarea incidentelor de securitate?

Cultura de securitate cibernetică, cine sunt responsabilii?

Multe companii au rămas vulnerabile în fața atacurilor cibernetice chiar și după ce au investit in unelte sofisticate si au obținut certificări precum ISO 27001. Au înțeles astfel că este nevoi de mai mult și că securitatea cibernetică transcende tehnologia și ține de mentalitate. Cultura de securitate cibernetică presupune cunoștințe, idei, atitudini și comportamente ale unei organizații, care influențează în mod direct securitatea acesteia. Indiferent de infrastructura de securitate folosită, aceasta va fi inutilă dacă angajații nu respectă regulile, de aceea într-o cultură de securitate fiecare angajat trebuie să participe activ la protejarea organizației. Securitatea nu este responsabilitatea exclusivă a departamentului de IT, iar digitalizarea mediului de lucru necesită cooperarea tuturor. Mai mult, cultura de securitate trebuie să reflecte noua realitate postpandemie, ale cărei coordonate sunt: mobilitatea, lucrul de acasă, BYOD, cloud-ul și colaborarea etc.

Cultura de securitate nu are legatură cu existența sau nu a unui Departament IT și poate fi inițiată oricând cu resurse interne sau externe. „Democratizarea” sarcinilor de securitate trebuie să înceapă printr-o analiză a situației/protocolului actual, urmată de completarea lacunelor angajaților cu privire la responsabilitățile lor. Actualizarea și consolidarea politicilor de securitate pot fi încredințate șefilor de departamente, care sunt responabili pentru menținerea standardelor de securitate în cadrul propriilor echipe.

Trainingul angajaților

Înainte de a investi în instrumente complexe, organizațiile trebuie să creeze o cultură de securitate de bază, prin ceea ce se numeste ”igienă cibernetică”. Aceasta implică acțiuni simple dar esențiale: angajații trebuie să înțeleagă diferența dintre o parolă puternică și una slabă, trebuie să își schimbe parolele în mod regulat fără a fi nevoie să li se (re)amintească, dar și să identifice și să raporteze amenințări potențiale de tipul e-mailurilor de phishing. Aceștia nu trebuie să se aboneze la servicii care nu au legătură cu munca de pe dispozitivele companiei și să nu folosească informațiile de logare din cadrul companiei pentru conturi personale. În plus, angajații trebuie încurajați să informeze echipa IT dacă comit greșeli și în nicio situație nu trebuie să facă schimb de parole, de coduri sau carduri de acces. Mai mult, este important ca regulile de securitate cibernetică să se aplice tuturor angajaților, indiferent de vechime sau funcții.

Instruire clară, distractivă, interactivă

Supunerea angajaților la prezentări lungi și plictisitoare nu este o soluție, tocmai de aceea instruirea trebuie să fie informală și poate chiar amuzantă. Un program de instruire în materie de securitate cibernetică trebuie să fie clar, concis și să ajute la conștientizarea problemelor reale de securitate. Este încurajată înregistrarea sesiunilor și ulterior punerea lor la dispoziția angajaților, pentru a putea fi consultate oricând. Sesiunile trebuie să se bazeze pe exemple reale, să includă informații despre cauze și consecințe, și să fie în același timp interesante, distractive. Angajații pot beneficia de afișe relevante, care transmit informații prin glume sau desene, plasate în zone vizibile, dar și de jocuri sau mici chestionare. Totodată, angajații pot fi ajutați să înțeleagă că securitatea datelor nu este importantă doar la locul de muncă, mai ales în mediile de lucru hibride de astăzi.

Recompense vs. Sancțiuni

Sunt disponibile numeroase aplicații care testează cunoștințele și obiceiurile utilizatorilor, atât în cadrul sesiunilor de training cât și în ”real life.” În cazul simulărilor de phishing, se recomandă recompensarea celor care au reușit să identifice amenințările, păstrând în același timp un ton constructiv față de ceilalți. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină această abordare în ghidul său „Cybersecurity Culture Guidelines”. Nu trebuie să fii psiholog să înțelegi că oamenii răspund pozitiv la recompense și negativ la sancțiuni, de aceea merită implementat un sistem de recompensare a celor care demonstrează comportamente pozitive legate de securitate. În plus, este foarte utilă informarea obiectivă periodică a angajaților cu privire la modul în care acțiunile lor afectează securitatea. ENISA recomandă și integrarea învățării informale în anumite situații sociale din cadrul organizației, dat fiind că dezvoltarea unei culturi a securității cibernetice este un proces de lungă durată. Spre exemplu, crearea unui newsletter care să informeze periodic angajații asupra anumitor situații, incidente sau studii poate fi util.

O cultură de securitate solidă este importantă pentru că în peisajul cybercrime actual, în primul rând oamenii fac o organizație sigură și apoi tehnologia. Mai mult, o astfel de cultură trebuie să îmbine elementele organizaționale (procese, politici, practici) cu cele invididuale (cunoștințe, idei, atitudini) pentru a fi cu adevărat eficientă. Nu e un proces simplu, dar cere timp și implicare.