szko logo

🔐Kultura varnosti v času nenehnih groženj: kako gradimo vedenje, ne le politike

Varnost v digitalnem okolju se danes ne meri le po številu tehničnih rešitev ali zahtevnosti napadov. Meri se po tem, kako ljudje vsakodnevno ravnamo z informacijami, kako se odločamo pod pritiskom, in ali znamo prepoznati tisto, kar je morda udobno vendar tvegano.

Varnostno vedenje ni enako znanju

Čeprav vsi poznamo osnove (močna gesla, previdnost pri povezavah, zaklepanje naprav), se incidenti še vedno dogajajo. Zakaj? Ker vedenje v praksi pogosto oblikujejo navade, hitenje, predvidevanja, zaupanje ali celo strah pred napako. Ljudje delujemo v različnih okoliščinah in varnostna pravila pogosto podležejo pritisku trenutka. Zato mora biti cilj varnostne kulture to, da je varno ravnanje najlažja izbira, ne dodatna naloga.

Od standardov k zavedanju in praksi

Standard ISO/IEC 27001 postavlja jasen okvir za upravljanje informacijske varnosti. Njegovo jedro ni tehnologija, temveč ljudje, procesi in vedenje. Ključni vidik: ozaveščenost zaposlenih.

To pomeni:

  • znati prepoznati phishing e-pošto,
  • razumeti pasti socialnega inženiringa,
  • znati pravilno ravnati ob sumu incidenta,
  • in kar je danes še posebej pomembno kritično razmišljati o uporabi umetne inteligence in orodij, ki niso pod nadzorom varnostnega sistema.

ZInfV: ko zakonodaja zahteva kulturo

Zakon o informacijski varnosti (ZInfV), skladno z NIS2, razširja odgovornost za varnost:

  • od IT k vodstvu,
  • od tehničnih ukrepov k procesom,
  • od dokumentov k dejanskemu obnašanju.

ZInfV ni le zahteva po poročanju ali ocenjevanju tveganj, je poziv k sistemski kulturi upravljanja varnosti, ki se začne pri vsakem zaposlenem.

Shadow IT in osebne naprave, ko priročnost postane tveganje

Varnostnih incidentov ne povzročajo vedno hekerji, pogosto jih sprožijo bližnjice, ki si jih vzamemo sami:

  • shranjevanje dokumentov v osebni Google Drive,
  • uporaba zasebnih klepetalnic za službene informacije,
  • nameščanje neodobrenih razširitev v brskalnik,
  • uporaba osebnih naprav brez ustrezne zaščite.

Te prakse so znane kot “shadow IT” uporabljene z najboljšimi nameni, a mimo organizacijskih zaščit. Brez nadzora nad tem, kje se podatki nahajajo in kdo do njih dostopa, organizacija izgubi nadzor nad tveganji. Zato ni dovolj, da zaposlenim zaupamo ampak je treba narediti tveganja vidna, ustvariti okolje, kjer bo varna pot jasna, podprta in enostavna.

Majhne navade, velika razlika

Kultura varnosti je sestavljena iz malih dejanj, ki jih lahko vsakdo ponotranji:

  • Preverjanje povezav in pošiljateljev,
  • Redna prijava incidentov, tudi če nismo prepričani,
  • Uporaba močnih, unikatnih gesel in 2FA,
  • Shranjevanje podatkov v odobrenih orodjih,
  • Preverjanje prejemnikov elektronske pošte,
  • Zaklepanje računalnika ob odhodu,
  • Previdnost pri uporabi video konferenc.

Poletje in varnost: čas za sprostitev, ne za popuščanje

Poletje prinaša sproščen tempo in manjšo prisotnost ekip. A to je tudi čas povečanih napadov, ko napadalci računajo na nepazljivost in zmanjšano odzivnost.

Zato priporočamo:

  • Pregled pooblastil in dostopov,
  • Imenovanje nadomestnih oseb za odziv na incidente,
  • Ponovitev ključnih varnostnih priporočil (npr. preko opomnikov ali e-poštne kampanje),
  • Samoevalvacijo osebnih naprav, ki se uporabljajo za službene naloge,
  • Jasno pravilo glede uporabe neodobrenih orodij AI orodja, e-pošta, deljenje datotek.

Zaključek

Gradnja varnostne kulture pomeni, da vedenje postane zanesljivo, tudi v času stresa, nepozornosti ali časovnega pritiska. Ozaveščenost je šele začetek. Kultura pomeni, da je varna izbira vedno najlažja.

Varnost ni stvar ene kampanje. Je vsakdanja praksa, ki je zgrajena na navadah, podpori in zaupanju.

Mag. Ines Hikl, Genialis, d.o.o.

logo
  • Dimičeva 13, 1000 Ljubljana, Slovenija
  • info@szko.si
  • TRR: 02083-0018252371
  • ID za DDV: SI46449990
E-novice
Želite prejemati e-novice SZKO ter vabila na prihajajoče dogodke?

"*" označuje obvezna polja

This field is for validation purposes and should be left unchanged.
microcop
www.startfit.si
Podjetje Start fit je sestavljeno iz ekipe strokovnjakov s področja kineziologije, fizioterapije in manualne terapije. Na kongresu ponujamo svetovanje na področju prilagojenega gibanja za boljše počutije in zmanjšanje bolečin. Predstavljamo rešitve za zdravje zaposlenih z individualnimi pregledi in vadbo, ki jo lahko zaposleni izvajajo kjerkoli in kadarkoli. Pridružite se nam na jutranjem Ugrizu morskega psa ali poiščite našo ekipo v razstavnem prostoru, kjer bo na voljo za svetovanje.
microcop
www.sirius.si
Zavod SIRIUS SCIENCE je del poslovne skupine Sirius, ki razvija izdelke in rešitve, povezane z naravo in primarno kodo izvora. Osredotoča se na raziskave in razvoj znanj za optimizacijo naročnikove učinkovitosti, zmanjšanje stresa ter doseganje večje ravnovesja in produktivnosti.
microcop
www.stroka.si
Skupina stroka.si že več kot 30 let zagotavlja kakovostne in inovativne IT-rešitve. Več kot 70 strokovnjakov suvereno pokriva področja poslovnih, sistemskih, spletnih in digitalnih rešitev ter poslovne analitike. Znotraj razvojnega oddelka razvijajo rešitve na najsodobnejših tehnologijah za javni (zdravstveni zavodi) in zasebni sektor.
microcop
www.mikro-polo.si
Mikro+Polo d.o.o. je vodilni slovenski dobavitelj laboratorijske, medicinske in procesne opreme, kemikalij ter laboratorijskega pohištva. Z več kot 30-letnimi izkušnjami ponujamo celovite rešitve, od načrtovanja do izvedbe laboratorijev. Smo družbeno odgovorno podjetje, zavezano k zagotavljanju kakovosti in digitalizaciji procesov.
microcop
www.mikrocop.com
Rešitev InDoc EDGE je certificirana digitalna platforma podjetja Mikrocop, ki omogoča podjetjem učinkovito in skladno upravljanje dokumentacije v skladu z ISO standardi. Dokumentacija je od samega nastanka pa do arhiviranja sledljiva, pregledna in dostopna. Z enim klikom boste revidirali in spreminjali vso potrebno dokumentacijo, a hkrati zadoščali ISO standardom.