Firmy i instytucje z całego świata cierpią na brak specjalistów w dziedzinie cyberochrony. Sytuację pogarsza fakt, że to właśnie ludzie są najsłabszym ogniwem każdego systemu bezpieczeństwa i związanych z nim procedur. Pracownicy wciąż popełniają podstawowe błędy i nie mają ogólnej świadomości w zakresie bezpiecznego korzystania z rozwiązań cyfrowych. Dlatego edukowanie personelu z podstawowych zasad cyberhigieny staje się palącą potrzebą dla wielu przedsiębiorstw.
Aby rozwiązać ten problem, pracownicy wszystkich działów firmy powinni być bardziej zaangażowani w procesy związane z cyberbezpieczeństwem. Wzrost poziomu wiedzy w przedsiębiorstwie umożliwia zespołom IT bardziej efektywną pracę i całościowe podejście do ochrony sieci i systemów. Powinni również upewnić się, że pracownikom jest zapewniona możliwość szkolenia się we wdrażaniu zaawansowanych narzędzi ochronnych i zarządzaniu nimi, a także identyfikowaniu nowych zagrożeń i reagowaniu na nie. Jest to ważne, ponieważ firmowe sieci są coraz bardziej rozproszone, przez co stale rośnie znaczenie wykrywania ataków i przeciwdziałania im. Ostatecznym celem powinno być stworzenie swoistej „kultury bezpieczeństwa” w organizacji. Oznacza to przeszkolenie pracowników ze wszystkich działów firmy w kwestiach cyberhigieny i doprowadzenie do sytuacji, w której pracownicy m.in. są w stanie rozpoznać ataki phishingowe, potrafią regularnie aktualizować aplikacje oraz wiedzą, do kogo zwrócić się o pomoc.
Trwająca cyfryzacja przedsiębiorstw sprawia, że bezpieczeństwo IT staje się dla nich głównym przedmiotem troski. Szkolenia w tym zakresie muszą być częścią każdej skutecznej strategii ochrony sieci i danych. Program szkoleniowy dla pracowników powinien dotyczyć poniższych zagadnień:
- Bezpieczeństwo haseł
Duża liczba kont online, z których korzysta przeciętny użytkownik Internetu sprawia, że zbyt trudno jest stworzyć i zapamiętać unikalne hasło do każdego z nich. Większość używa więc tego samego hasła do wielu stron i usług. Zamiast tego warto skorzystać z możliwości bezpiecznego zarządzania hasłami, np. specjalnego oprogramowania, które gromadzi wszystkie nazwy użytkownika i powiązane z nimi hasła. To, co należy wówczas zapamiętać, to jedno hasło dla tej aplikacji.
Można również stworzyć bardziej złożone hasła dla poszczególnych rodzajów serwisów. Ważne jest korzystanie z autoryzacji dwuskładnikowej wszędzie, gdzie jest to możliwe. Znacznie zwiększa to bezpieczeństwo kont i danych. Warto również zrezygnować z opcji zapamiętywania haseł w przeglądarkach internetowych. Dotyczy to przede wszystkim urządzeń, do których dostęp mają także inne osoby. - Świadomość zabiegów socjotechnicznych
Nigdy nie należy otwierać wiadomości e-mail ani załączników od nieznajomych nadawców, zwłaszcza jeśli znajdują się tam intrygujące treści, jak np. informacja o przyznaniu nieoczekiwanej nagrody lub rachunek za towar czy usługę, których nigdy nie kupiono. Ponadto trzeba pamiętać, że konta przejęte przez cyberprzestępców są regularnie wykorzystywane do wysyłania złośliwego oprogramowania do osób znajdujących się na ich liście kontaktów. Jeśli więc wiadomość e-mail od kogoś znajomego wydaje się podejrzana, np. napisana innym niż zawsze językiem lub stylem, warto sprawdzić z nim najpierw inną drogą (telefon, SMS, wiadomość w mediach społecznościowych), czy na pewno pochodzi od niego. Należy też unikać klikania w linki w reklamach wysłanych na adres e-mail lub zamieszczonych na stronach internetowych. - Weryfikowanie sieci Wi-fi
Publiczne punkty dostępu do Wi-fi nie zawsze są bezpieczne. Hakerzy mogą łatwo stworzyć punkty dostępowe o nazwach podszywających się pod popularne hot-spoty np. w restauracjach czy dworcach, a następnie przechwytywać wszystkie dane przesyłane pomiędzy użytkownikiem a sklepami internetowymi, bankiem, centralą systemu zabezpieczeń domu i innymi miejscami odwiedzanymi online.
W praktyce często trudno jest odróżnić prawdziwy punkt dostępu Wi-fi od fałszywego. Przed nawiązaniem połączenia np. w restauracji, hotelu czy na lotnisku powinno się zapytać obsługę o nazwę sieci. Warto też rozważyć zainstalowanie oprogramowania VPN na urządzeniu, aby można było wykonać bezpieczne, zaszyfrowane połączenia z usługami, w których przetwarzane są poufne informacje. - Obrona przed wirusami
i złośliwym oprogramowaniem
Na komputerach i urządzeniach mobilnych powinno być zainstalowane wysoko oceniane przez specjalistów z branży i użytkowników oprogramowanie antywirusowe. Konieczna jest też jego regularna aktualizacja. Bardziej zaawansowani użytkownicy mogą również rozważyć stworzenie w swoim komputerze maszyny wirtualnej, której można używać do czynności najbardziej wrażliwych na naruszenie bezpieczeństwa, takich jak np. wykonywanie transakcji online. Taka maszyna także powinna być chroniona oprogramowaniem antywirusowym. - Aktualizacja urządzeń
i oprogramowania
Cyberprzestępcy stale wyszukują słabe punkty i luki w oprogramowaniu. Dostawcy urządzeń oraz aplikacji regularnie udostępniają aktualizacje zabezpieczeń, aby chronić użytkowników przed znanymi zagrożeniami. Należy je pobierać i instalować, gdy tylko staną się dostępne.
Merytoryka i metodyka
W procesach szkoleniowych, obok samej wiedzy, ważna jest także metodyka przekazywania jej pracownikom. Należy przyjąć takie formy uczenia, które z jednej strony zapewnią efektywność, a z drugiej będą atrakcyjne dla uczących się. Jednymi z najciekawszych nowych trendów w tym obszarze są mikrolearning oraz grywalizacja.
Pierwszy z nich polega na przekazywaniu personelowi niewielkich wycinków wiedzy w zależności od bieżących potrzeb. Informacje w ramach kursów mikrolearningowych można przekazywać na różne sposoby: od nowoczesnych systemów zarządzania uczeniem się (LMS – Learning Management Systems) po mniej formalne jak np. quizy. Mikrolearning jednak najlepiej nadaje się do uczenia bazującego na umiejętnościach, co ma zastosowanie w obszarze bezpieczeństwa IT. Przy tak często zmieniającym się krajobrazie zagrożeń, szkolenia z wykorzystaniem tych technik mogą być prowadzone regularnie, aby na bieżąco przekazywać wiedzę na ten temat.
Z kolei grywalizacja ma na celu zaangażowanie uczestników szkolenia poprzez zachęcenie ich do kreatywnych działań, a w niektórych przypadkach – współzawodnictwa i konkurowania. Uczestnicy szkoleń mogą być np. zachęcani do dalszej nauki poprzez zdobywanie punktów. Grywalizacja w procesach szkoleniowych w obszarze cyberbezpieczeństwa może być realizowana na wiele sposobów, a szczególnie cenne może być wykonywanie praktycznych zadań. Przykładowo, organizator szkolenia może wysyłać uczestnikom symulowane ataki phishingowe i przyznawać punkty tym pracownikom, którzy unikną ataków i będą potrafili zidentyfikować ich różne charakterystyczne cechy.