Agenda HR — 10 July 2017

Angajații ascund incidentele de securitate în 40% dintre companiile din toată lumea, conform unui raport Kaspersky Lab și B2B International, ,,Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”. Având în vedere că, în fiecare an, 46% dintre incidentele de securitate IT sunt cauzate de angajați, această vulnerabilitate trebuie rezolvată din mai multe direcții, nu doar prin  intermediul departamentul de IT.

Malware personalizat și tehnici hi-tech

Angajații neinformați sau neglijenți sunt una dintre cele mai răspândite cauze ale unui incident de securitate cibernetică, ocupând locul al doilea, după malware. Neglijența angajaților este una dintre cele mai mari breșe din ,,armura” securității cibernetice a unei companii, atunci când vine vorba de atacuri direcționate. Chiar dacă hackerii specializați s-ar putea să folosească malware personalizat și tehnici hi-tech pentru a plănui un furt, este foarte posibil să înceapă cu exploatarea celui mai simplu punct de acces: natura umană.

Potrivit cercetării, fiecare al treilea atac (28%) asupra companiilor care a fost înregistrat anul trecut a avut drept sursă phishing-ul sau o tehnică de social engineering. De exemplu, un contabil neatent ar putea să deschidă un fișier malware deghizat într-o factură de la unul dintre numeroșii contractori ai companiei. Acest lucru ar putea să oprească întreaga infrastructură a organizației, făcând din respectivul contabil un complice involuntar al atacatorilor.

 ,,Infractorii cibernetici folosesc frecvent angajații drept punct de acces în interiorul infrastructurii companiei”, spune David Jacoby, Senior Security Researcher la Kaspersky Lab. ,,Chiar și niște banale notițe scăpate în parcare sau lângă biroul secretarei ar putea compromite întreaga rețea. Ai nevoie doar de cineva din interior care nu știe prea multe despre securitate sau nu-i dă atenție și acel dispozitiv ar putea fi cu ușurință conectat la rețea, unde e posibil să facă ravagii.”

Atacurile direcționate complexe nu se produc în fiecare zi asupra unei organizații, dar programele malware convenționale lovesc în masă. Din păcate, însă, cercetarea arată că și acolo unde avem de-a face cu malware, angajații neinformați sau neatenți sunt implicați frecvent, cauzând infecții malware în 53% dintre incidente.

De ce ar trebui să se implice departamentul de HR și top management-ul

Angajații care ascund incidentele în care au fost implicați pot crea consecințe dramatice, crescând pagubele totale. Chiar și un eveniment trecut sub tăcere poate fi semnul unei breșe mult mai mari. Conform studiului, membrii personalului preferă să pună organizațiile în pericol decât să raporteze o problemă, pentru că se tem de sancțiuni. Unele companii au introdus reguli stricte și le impun angajaților responsabilități suplimentare în loc să-I încurajeze, pur și simplu, să fie atenți și să coopereze. Acest lucru înseamnă că protecția cibernetică nu ține doar de tehnologie, ci și de cultura organizațională și de training. Acestea sunt și domeniile în care top management-ul și departamentul de HR trebuie să se implice.

 ,,Problema reprezentată de ascunderea incidentelor ar trebui să le fie comunicată nu doar angajaților, ci și conducerii organizației și departamentului de HR”, spune Slava Borilin, Security Education Program Manager la Kaspersky Lab.  ,,În unele cazuri, companiile impun politici stricte, dar neclare, și pun prea multă presiune pe angajați, avertizându-i să nu facă una sau alta, altfel urmând să fie făcuți responsabili dacă se întâmplă ceva. Astfel de politici creează teamă și le lasă angajaților o singură posibilitate: să evite sancțiunile cu orice preț. Dacă o cultură organizațională de securitate cibernetică este pozitivă, bazată pe educație și nu pe restricții, rezultatele nu vor întârzia să apară.”

Borilin amintește, de asemenea, un model de securitate din domeniul industrial, în care se aplică un sistem de tipul ,,învață din greșeli”. De exemplu, într-o declarație recentă, Elon Musk, CEO-ul Tesla Motors, a cerut ca fiecare incident care afectează siguranța muncitorului să-i fie raportat direct lui, pentru a interveni în schimbare.

Soluția? Măsurile de securitate endpoint

Organizații din toată lumea constată că au angajați care le fac afacerea mai vulnerabilă: 52% dintre companiile participante recunosc că personalul este cea mai mare slăbiciune a lor în domeniul securității IT. Astfel, nevoia de a implementa măsuri axate pe angajați devine din ce în ce mai evidentă: 35% dintre companii vor să-și îmbunătățească securitatea prin traininguri pentru angajați, făcând din acestea a doua metodă de apărare cibernetică, după folosirea unor programe mai sofisticate (43%).

Cea mai bună metodă de a proteja organizațiile de amenințări cibernetice este îmbinarea instrumentelor și a practicilor potrivite. Eforturile de HR și de management ar trebui să susțină și să încurajeze angajații să fie atenți și să ceară ajutor în eventualitatea unui incident. Trainingurile pentru personal despre conștientizarea importanței securității, reguli clare (în loc de documente cu multe pagini), dezvoltarea abilităților și a motivației și crearea unui mediu de lucru corespunzător sunt primii pași pe care ar trebui să îi facă organizațiile.

În materie de tehnologii de securitate, majoritatea amenințărilor care vizează angajații neinformați sau neatenți – inclusiv phishing-ul – pot fi rezolvate cu soluții de securitate endpoint. Acestea pot acoperi cerințele specifice ale unui IMM sau ale companiilor mari din punct de vedere al funcționalității, al protecției pre-configurate sau al setărilor avansate de securitate.

Puteți citi întregul raport aici.

Foto: Mr. Robot / Creative Commons

Comentarii

Share

About Author

Revista HR Manager

(0) Readers Comments

Leave a Reply