Kultura cybernetyczna filarem bezpieczeństwa dla branży IT

Zsolt Balogh_Liferay_small

Aby zapewnić odpowiedni poziom bezpieczeństwa informacji, oprócz inwestycji w najnowsze technologie, systemy informatyczne i niezawodność procesów, firmy i korporacje powinny skupiać większą uwagę na kadrach i ich szkoleniu. Zdaniem ekspertów Liferay, to nie nowe choć niedoceniane jak dotąd wyzwanie. Bez odpowiednich regulacji i polityk w tym zakresie, organizacje same narażają się na szereg zagrożeń związanych z bezpieczeństwem wrażliwych danych, ciągłością działania, utratą reputacji a co za tym idzie stratami finansowymi.

Spis treści:
Audyt aktualnie posiadanych zasobów IT
Polityki i regulacje przyjazne pracownikom
Silne przywództwo

Zagrożenia cybernetyczne nieustannie się zmieniają, niemal codziennie powstają ich nowe warianty. Wraz z nimi muszą ewoluować systemy ochrony. W świecie organizacyjnie opartym na sieci i chmurze, rozwiązania skuteczne dziś, jutro mogą być już nieaktualne. Jednak nawet posiadając najlepsze zabezpieczenia systemowe, nadal najsłabszym ogniwem pozostaje pracownik.

Audyt aktualnie posiadanych zasobów IT
Aby skutecznie zidentyfikować potencjalne luki cybernetyczne, należy wyjść od kompleksowego audytu posiadanych aktualnie rozwiązań, określić luki i podjąć środki zaradcze. Dopiero wtedy można rozpocząć proces edukowania pracowników w zakresie dbałości o bezpieczeństwo informacji i umiejętność uniknięcia potencjalnych zagrożeń, głównie z zewnątrz.

W przypadku gdy firma lub organizacja nie korzysta z outsourcingu, należy rozważyć inwestycję w dotychczas posiadane środowisko IT. Stworzenie infrastruktury sieciowej o wysokiej przepustowości lub rozwinięcie już istniejącej pozwoli na podwyższenie poziomu bezpieczeństwa wrażliwych danych zawartych w aplikacjach korporacyjnych, do których pracownicy mają dostęp także spoza firmowej sieci. Innym działaniem powinno być zadbanie o możliwie najbardziej skuteczne protokoły bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA) lub wielopoziomowe (MFA). Natomiast opierając swój model biznesowy na chmurze i korzystaniu z dostawców zewnętrznych, upewnić się czy posiadają oni najważniejsze certyfikaty bezpieczeństwa.

Polityki i regulacje przyjazne pracownikom
Nawet najbardziej niezawodne systemy bezpieczeństwa pozostaną nieskuteczne bez właściwych regulacji w zakresie polityk zgodności i szkoleń dla kadr, uważają eksperci Liferay. Niezbędne jest przeprowadzanie okresowych testów gotowości pracowników, aby zidentyfikować obszary najbardziej podatne na zagrożenia i ocenić czy aktualne polityki wymagają modyfikacji. Następnie wdrożyć regulacje, które sprawią, że przestrzeganie zasad cyberbezpieczeństwa przestanie być nadmiernie uciążliwe, a stanie się czynnikiem nie mającym wpływu na komfort pracy, jej czas i wydajność.

Według ostatniego raportu1 Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) dot. mapy bezpieczeństwa sieci, w 2020 roku nadal głównym zagrożeniem pozostawało złośliwe oprogramowanie (malware), podszywanie się (phishing), ataki oparte na aplikacjach sieciowych czy kradzież tożsamości. Zagrożenia te dotyczą wszystkich pracowników korzystających z firmowych sieci, nie tylko pracowników działów IT.

Bezpieczeństwo informacji zależy w równym stopniu od czynników technicznych i organizacyjnych, jak i ludzkich. Jedynie zachowanie równowagi pomiędzy tymi trzema czynnikami zapewni pożądany poziom ochrony. Wprowadzenie spójnych procedur obowiązujących wszystkich pracowników jest niezbędne. Nie chodzi tu jedynie o regularne szkolenia, bądź symulacje ataków czy chęć wyłudzenia informacji, ale też o regularne monitorowanie i ocenianie, czy wybrane modele rozwiązań są skuteczne czy pozostają jedynie na poziomie umownym – kwestia dochowania bezpieczeństwa informacji wymaga sformalizowanego podejścia i częstej komunikacji pomiędzy szefami poszczególnych działów w całym przedsiębiorstwie – mówi Zsolt Balogh, Dyrektor Zarządzający Liferay na Europę Środkową (CEE) i Prezydent Liferay DevSecOps.

Silne przywództwo
Sygnał do zmiany mentalności i podejścia pracowników do świadomego przestrzegania zasad cyberbezpieczeństwa powinien być inicjowany przez kierownictwo, najważniejsze osoby w organizacji. W głównej mierze ze względu na ryzyko finansowe i ryzyko utraty reputacji wynikające z naruszeń, wymogi regulacyjne i ewentualne naciski inwestorów. Niezbędne jest udoskonalenie istniejących bądź stworzenie zupełnie nowych zasad kultury cybernetycznej, zaczynając od przydzielenia właściwych środków na kompleksowe programy i szkolenia przy jednoczesnym przekazaniu jasnych obowiązków i uprawnień (CIO). Bezpieczeństwo należy postrzegać nie tylko jako koszt, ale jako czynnik zmniejszający ryzyko. Aby zmienić kulturę, kierownictwo wyższego szczebla musi wykorzystać szereg instrumentów, w tym komunikację wewnętrzną, edukację, a także musi dawać przykład.

1 ENISA Threat Landscape 2020 Report.

 
Autor: Zsolt Balogh, Dyrektor Zarządzający Liferay na Europę Środkową (CEE) i Prezydent Liferay DevSecOps.

BANK POCZTOWY OSTRZEGA: bądź czujny w czasie zakupów w internecie

Pawel_Rzewuski_BP_SMALL
Okres przedświąteczny to czas wzmożonej aktywności przestępców działających w świecie online. Dane pokazują, że na ataki cybernetyczne w Polsce narażona może być nawet co 5 osoba. W związku z faktem, że 98% z nas czuje się bezpiecznie robiąc zakupy w internecie – tym bardziej zagrożenie płynące ze strony oszustów może stać się realne dla każdego z nas.

Bank Pocztowy szczególnie dba o bezpieczeństwo swoich klientów, ale także wszystkich obywateli, którzy coraz częściej decydują się na zakupy w sieci i dlatego apeluje o czujność w czasie przeprowadzania transakcji on-line. Komunikaty przypominające o podstawowych zasadach bezpieczeństwa w sieci, szczególnie w okresie przedświątecznym, Bank publikuje na stronach www oraz w mediach społecznościowych.

– Aż 98% z nas czuje się bezpiecznie robiąc zakupy w internecie, co sprawia, że tym łatwiej można uśpić naszą czujność. Tymczasem zagrożenie płynące ze strony oszustów jest realne dla każdego z nas, szczególnie teraz, kiedy w związku z COVID-19 znaczna część naszej aktywności przeniosła się właśnie do internetu. Jednak nie jesteśmy bezbronni. Zachowanie ostrożności pomoże nam zwiększyć nasze bezpieczeństwo. Zadbajmy też o naszych bliskich. Przekażmy im tych kilka prostych zasad – mówi Paweł Rzewuski, Dyrektor Departamentu Bezpieczeństwa i Ryzyka Operacyjnego Banku Pocztowego.

Poniżej przedstawiamy podstawowe zasady bezpieczeństwa w czasie zakupów online:

Nigdy nie podawaj osobom trzecim danych logowania do bankowości internetowej.
Zwróć uwagę na adres strony www i ważność jej certyfikatu.
Chroń swój kod PIN i inne dane karty płatniczej.
Bank nigdy nie wymaga podania pełnego numeru karty czy danych logowania do bankowości internetowej.
Nie podawaj osobom trzecim kodów autoryzacji SMS.
Unikaj niesprawdzonych sklepów internetowych, koniecznie sprawdź opinie.
Nie otwieraj podejrzanych linków.
Nigdy nie instaluj na urządzeniach z których dokonujesz płatności nieznanych aplikacji, w tym służących do podłączania pulpitu zdalnego.
Zwróć uwagę na „atrakcyjne” ceny kupowanych przedmiotów.
Pamiętaj o aktualizacji danych teleadresowych, w szczególności numeru telefonu.
Odsetek Polaków robiących zakupy w internecie systematycznie rośnie. Według ostatnich danych taką aktywność w sieci deklaruje już ponad 70% z nas.

Źródło: Bank Pocztowy.