• Firmy mają coraz więcej zasobów finansowych, które mogą przeznaczyć na zwiększenie poziomu bezpieczeństwa; jednak to wciąż za mało, a inwestycje są niewystarczające. 

  • Nawet najlepsze narzędzia bezpieczeństwa zawodzą, jeśli ich implementacji nie towarzyszy inwestycja w podniesienie kompetencji personelu w zakresie cyberbezpieczeństwa. 

  • Firmy nie doceniają czynnika ludzkiego podczas projektowania systemów bezpieczeństwa z trzech powodów: braku świadomości problemu; pozornych oszczędności; i problemów organizacyjnych. 

Każdego roku widzimy, że wydatki związane z bezpieczeństwem IT rosną. Nie da się zaprzeczyć, że przepisy RODO znacznie wpłynęły na ten trend. Niestety, choć departamenty IT mają coraz większe fundusze przeznaczone na podniesienie poziomu bezpieczeństwa, te są wciąż niewystarczalne albo nie inwestuje się ich w optymalny sposób. Niewłaściwie wybrane, wdrożone i skonfigurowane oprogramowanie czy sprzęt nie rozwiążą wszystkich problemów i nie złagodzą potencjalnych zagrożeń. Jednakże nie skupimy się dziś na technicznych zagadnieniach; zamiast tego porozmawiamy o podstawach – wiedzy i świadomości pracowników. 

Ludzie zawodzą częściej, niż systemy

Eksperci IT ludzie związani z cyberbezpieczeństwem twierdzą, że człowiek jest najsłabszym ogniwem łańcucha. Być może jest to brutalne stwierdzenie, ale trudno się z nim nie zgodzić: większość incydentów nie miałoby miejsca, gdyby pracownicy wiedzieli na co zwracać uwagę i jak reagować na wyjątkowe sytuacje. Według ankiety 19th Global Information Security przeprowadzonej w 2017 roku przez EY, firmę doradczą, phishing stanowi największe cyberzagrożenie, zaraz obok wirusów. Co więcej, 86% ankietowanych twierdzi, że ich kompetencje z zakresu cyberbezpieczeństwa nie do końca spełniają potrzeby organizacji, dla której pracują.  

Eksperymenty niedawno przeprowadzone przez nasz departament bezpieczeństwa dowodzą czegoś bardzo podobnego: firmy zapominają o swoich pracownikach. Gdy przeprowadzamy audyty, warsztaty i projekty treningowe dla naszych klientów, widzimy jak mała jest wśród personelu świadomość potencjalnych incydentów. To interesujące, że uczestnicy tych spotkań są bardzo zaangażowani, szczególnie, że uzyskane przez nich informacje okażą się użyteczne nie tylko w ich karierach, ale i w życiu prywatnym, w którym wszyscy jesteśmy podatni na ataki hakerów i oszustów. 

Czy inwestycja w ludzi to najtrudniejsza część? 

Co powstrzymuje firmy przed organizowaniem kursów treningowych dla ich pracowników? Po pierwszenie są świadome jak ważną pozycję zajmują kursy treningowe na mapie cyberbezpieczeństwa każdego przedsiębiorstwa. Jednakże, powinniśmy pamiętać, że oprogramowanie i systemy będą bezużyteczne jeśli jakiś pracownik wyśle maila z poufnymi danymi albo dokona transferu na fałszywe konto.   

Po drugie, to dodatkowy koszt, więc jeśli firma decyduje się zwiększyć świadomość, zazwyczaj odnosi się to do personelu kierowniczego. Niestety, takie podejście nie będzie optymalne w każdej strukturze organizacyjnej. Poza tym, fundusze przeznaczone na trening pracowników zawsze przynoszą korzyść i taki wydatek jest zazwyczaj nieistotny gdy porównamy go z kosztem implementacji systemów bezpieczeństwa. 

Co więcej, dla wielu dużych firmy stanowi to poważne wyzwanie logistyczne. Wielka liczba pracowników porozrzucanych po całym kraju w różnych lokacjach może być utrudnieniem, lecz nie stanowi tak poważnej przeszkody, jak mogłoby się zdawać. Możecie stworzyć różne grupy uczestników, rozszerzyć projekt albo po porostu użyć technologii i przeprowadzić warsztaty online. Istnieje wiele możliwości, ale wszystko zależy od budżetu i struktury organizacyjnej. 

Podsumowując: planując wydatki na cyberbezpieczeństwo, nie zapomnijcie o podwyższeniu i utrzymaniu poziomu wiedzy swojego personelu. Niezależnie od tego, czy dysponujemy zaawansowanymi środkami bezpieczeństwa, czy jesteśmy małą firmą pozbawioną znacznych funduszy w tym zakresie – nic nie zastąpi świadomego pracownika. Trening zawsze będzie stanowił podstawę dla zbudowania optymalnego systemu zabezpieczeń, niezależnie od poziomu jego skomplikowania. 

About the Author: Konrad Ziółkowski

Connected with Cybercom Poland for nearly two years, operating for 1.5 years in the Security area. He co-created and developed a comprehensive solution that is auditing companies in the area of GDPR. He controls the professional implementation of audits and coordinates cooperation with business partners. Combining business and technical knowledge, he is training clients with the impact of new legal regulations on their organization and helps prepare for the implementation of the changes. He gained the „Moderate Design Thinking” and „Value Based Selling” certifications. He has over 20 audits sold. An excellent speaker, privately enthusiast of modern technologies, electronics and motorization.

Want to talk? Go ahead!