Varnost v digitalnem okolju se danes ne meri le po številu tehničnih rešitev ali zahtevnosti napadov. Meri se po tem, kako ljudje vsakodnevno ravnamo z informacijami, kako se odločamo pod pritiskom, in ali znamo prepoznati tisto, kar je morda udobno vendar tvegano.
Varnostno vedenje ni enako znanju
Čeprav vsi poznamo osnove (močna gesla, previdnost pri povezavah, zaklepanje naprav), se incidenti še vedno dogajajo. Zakaj? Ker vedenje v praksi pogosto oblikujejo navade, hitenje, predvidevanja, zaupanje ali celo strah pred napako. Ljudje delujemo v različnih okoliščinah in varnostna pravila pogosto podležejo pritisku trenutka. Zato mora biti cilj varnostne kulture to, da je varno ravnanje najlažja izbira, ne dodatna naloga.
Od standardov k zavedanju in praksi
Standard ISO/IEC 27001 postavlja jasen okvir za upravljanje informacijske varnosti. Njegovo jedro ni tehnologija, temveč ljudje, procesi in vedenje. Ključni vidik: ozaveščenost zaposlenih.
To pomeni:
ZInfV: ko zakonodaja zahteva kulturo
Zakon o informacijski varnosti (ZInfV), skladno z NIS2, razširja odgovornost za varnost:
ZInfV ni le zahteva po poročanju ali ocenjevanju tveganj, je poziv k sistemski kulturi upravljanja varnosti, ki se začne pri vsakem zaposlenem.
Shadow IT in osebne naprave, ko priročnost postane tveganje
Varnostnih incidentov ne povzročajo vedno hekerji, pogosto jih sprožijo bližnjice, ki si jih vzamemo sami:
Te prakse so znane kot “shadow IT” uporabljene z najboljšimi nameni, a mimo organizacijskih zaščit. Brez nadzora nad tem, kje se podatki nahajajo in kdo do njih dostopa, organizacija izgubi nadzor nad tveganji. Zato ni dovolj, da zaposlenim zaupamo ampak je treba narediti tveganja vidna, ustvariti okolje, kjer bo varna pot jasna, podprta in enostavna.
Majhne navade, velika razlika
Kultura varnosti je sestavljena iz malih dejanj, ki jih lahko vsakdo ponotranji:
Poletje in varnost: čas za sprostitev, ne za popuščanje
Poletje prinaša sproščen tempo in manjšo prisotnost ekip. A to je tudi čas povečanih napadov, ko napadalci računajo na nepazljivost in zmanjšano odzivnost.
Zato priporočamo:
Zaključek
Gradnja varnostne kulture pomeni, da vedenje postane zanesljivo, tudi v času stresa, nepozornosti ali časovnega pritiska. Ozaveščenost je šele začetek. Kultura pomeni, da je varna izbira vedno najlažja.
Varnost ni stvar ene kampanje. Je vsakdanja praksa, ki je zgrajena na navadah, podpori in zaupanju.
Mag. Ines Hikl, Genialis, d.o.o.