Świadomość bezpieczeństwa informacji
Świadomość bezpieczeństwa informacji jest ewoluującą częścią bezpieczeństwa informacji , która koncentruje się na podnoszeniu świadomości w zakresie potencjalnych zagrożeń związanych z szybko ewoluującymi formami informacji oraz szybko ewoluujące zagrożenia dla tych informacji, których celem jest ludzkie zachowanie. W miarę dojrzewania zagrożeń i wzrostu wartości informacji napastnicy zwiększyli swoje możliwości i rozszerzyli zakres swoich zamiarów, opracowali więcej metod i metodologii ataków oraz działają z bardziej zróżnicowanych motywów. Wraz z dojrzewaniem kontroli i procesów związanych z bezpieczeństwem informacji ataki dojrzały w celu obejścia kontroli i procesów. Atakujący obrali sobie za cel i skutecznie wykorzystali ludzkie zachowania w celu włamania do sieci korporacyjnych i systemów infrastruktury krytycznej. Osoby będące celem ataków, które nie są świadome informacji i zagrożeń, mogą nieświadomie obejść tradycyjne kontrole i procesy bezpieczeństwa oraz umożliwić włamanie do organizacji. W odpowiedzi wzrasta świadomość w zakresie bezpieczeństwa informacji. Cyberbezpieczeństwo jako problem biznesowy zdominowało program większości z nich dyrektorów ds. informacji (CIO), ujawniając potrzebę środków zaradczych wobec dzisiejszego krajobrazu cyberzagrożeń. Celem świadomości bezpieczeństwa informacji jest uświadomienie wszystkim, że są podatni na możliwości i wyzwania w dzisiejszym krajobrazie zagrożeń, zmiana ryzykownych zachowań ludzi oraz stworzenie lub wzmocnienie bezpiecznej kultury organizacyjnej.
Tło
Świadomość bezpieczeństwa informacji jest jedną z kilku kluczowych zasad bezpieczeństwa informacji. Świadomość bezpieczeństwa informacji ma na celu zrozumienie i wzmocnienie ryzykownych zachowań ludzi, przekonań i postrzegania informacji i bezpieczeństwa informacji, jednocześnie rozumiejąc i ulepszając kulturę organizacyjną jako środek zaradczy wobec szybko rozwijających się zagrożeń. Na przykład Wytyczne OECD dotyczące bezpieczeństwa systemów i sieci informatycznych obejmują dziewięć ogólnie przyjętych zasad: świadomość, odpowiedzialność, reagowanie, etyka, demokracja, ocena ryzyka, projektowanie i wdrażanie bezpieczeństwa, zarządzanie bezpieczeństwem i ponowna ocena. W kontekście Internet , ten rodzaj świadomości jest czasami określany jako świadomość bezpieczeństwa cybernetycznego , która jest przedmiotem wielu inicjatyw, w tym Narodowego Miesiąca Świadomości Bezpieczeństwa Cybernetycznego Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych oraz szczytu Prezydenta Obamy w 2015 r. w sprawie cyberbezpieczeństwa i ochrony konsumentów w Białym Domu.
Przestępstwa komputerowe nie są dla nas czymś nowym. Wirusy są z nami od ponad 20 lat; oprogramowanie szpiegujące pojawiło się ponad dekadę od najwcześniejszych incydentów; i wykorzystywania phishingu na dużą skalę można prześledzić co najmniej od 2003 roku. Jednym z powodów, dla których badacze zgodzili się co do tego, że tempo rozwoju systemów informatycznych ewoluuje i rozszerza się, świadomości bezpieczeństwa wśród pracowników. Niestety wydaje się jednak, że szybkie przyjęcie usług online nie idzie w parze z odpowiednim przyjęciem kultury bezpieczeństwa.
Ewolucja
Świadomość bezpieczeństwa informacji ewoluuje w odpowiedzi na zmieniający się charakter ataków cybernetycznych, zwiększone ukierunkowanie danych osobowych oraz koszty i skalę naruszeń bezpieczeństwa informacji. Ponadto wiele osób myśli o bezpieczeństwie w kategoriach kontroli technicznej, nie zdając sobie sprawy, że jako jednostki są celem, a ich zachowanie może zwiększyć ryzyko lub zapewnić środki zaradcze wobec ryzyka i zagrożeń.
Określanie i mierzenie świadomości w zakresie bezpieczeństwa informacji uwydatniło potrzebę dokładnych wskaźników. W odpowiedzi na tę potrzebę, wskaźniki świadomości bezpieczeństwa informacji szybko ewoluują, aby zrozumieć i zmierzyć krajobraz zagrożeń dla ludzi, zmierzyć i zmienić ludzkie rozumienie i zachowanie, zmierzyć i zmniejszyć ryzyko organizacyjne oraz zmierzyć skuteczność i koszt świadomości bezpieczeństwa informacji jako środka zaradczego.
Większość organizacji nie chce inwestować pieniędzy w bezpieczeństwo informacji. Badanie przeprowadzone przez PricewaterhouseCoopers (2014) wykazało, że obecni pracownicy (31%) i byli pracownicy (27%) nadal przyczyniają się do incydentów związanych z bezpieczeństwem informacji. Wyniki badania wykazały, że liczba faktycznych incydentów przypisywanych pracownikom wzrosła o 25% od czasu badania przeprowadzonego w 2013 roku. Nowsze badanie, Verizon Data Breach Investigations Report 2020, wykazało podobne wzorce w przypadku 30% incydentów związanych z bezpieczeństwem cybernetycznym z udziałem podmiotów wewnętrznych w firmie.
Konieczność programu świadomości bezpieczeństwa
Program świadomości bezpieczeństwa to najlepsze rozwiązanie, jakie organizacja może zastosować w celu zmniejszenia zagrożeń bezpieczeństwa powodowanych przez pracowników wewnętrznych. Program świadomości bezpieczeństwa pomaga pracownikom zrozumieć, że bezpieczeństwo informacji nie jest obowiązkiem jednostki; jest to odpowiedzialność wszystkich. W programie wyraźnie zaznaczono również, że pracownicy ponoszą odpowiedzialność za wszelkie czynności wykonywane pod ich identyfikatorami. Ponadto program wymusza standardowe sposoby obsługi komputerów biznesowych.
Chociaż organizacje nie przyjęły standardowego sposobu zapewniania programu świadomości bezpieczeństwa, dobry program powinien obejmować świadomość dotyczącą danych, sieci, zachowania użytkowników, mediów społecznościowych, korzystania z urządzeń mobilnych i Wi-Fi, e-maili phishingowych, inżynierii społecznej i różnych rodzajów wirusów oraz złośliwe oprogramowanie. Skuteczny program świadomości bezpieczeństwa pracowników powinien jasno wskazywać, że wszyscy w organizacji są odpowiedzialni za bezpieczeństwo IT. Audytorzy powinni zwrócić szczególną uwagę na sześć obszarów objętych programem: dane, sieci, zachowanie użytkowników, media społecznościowe, urządzenia mobilne i inżynieria społeczna.
Wiele organizacji bardzo komplikuje swoje polityki prywatności, przez co różni pracownicy zawsze nie rozumieją tych przepisów. Polityka Prywatności to coś, o czym należy przypominać pracownikom przy każdym logowaniu do firmowego komputera. Polityki prywatności powinny być jaśniejsze, krótsze i bardziej ustandaryzowane, aby umożliwić lepsze zrozumienie i porównanie praktyk w zakresie prywatności. Organizacje mogą organizować cotygodniowe interaktywne sesje, w których wszyscy pracownicy będą rozmawiać o bezpieczeństwie i zagrożeniach. Sesje interaktywne mogą obejmować uświadamianie o nowszych zagrożeniach, najlepszych praktykach oraz pytania i odpowiedzi.
Program świadomości bezpieczeństwa może nie być korzystny, jeśli organizacja nie karze sprawców. Pracowników, którzy zostali uznani za winnych naruszenia programu, należy zgłosić kierownictwu wyższego szczebla w celu podjęcia dalszych działań, w przeciwnym razie program nie będzie skuteczny. Organy ds. bezpieczeństwa informacji mogą przeprowadzić analizę luk w celu wykrycia ewentualnych braków w programie.
Stan aktulany
Na początku 2015 roku CIO uznali kwestie związane ze świadomością bezpieczeństwa informacji za najważniejsze strategiczne priorytety. Na przykład w lutym 2015 r. podczas Wall Street Journal, zwołanego w celu stworzenia uszeregowanego pod względem ważności zestawu zaleceń, które będą napędzać biznes i politykę w nadchodzącym roku, wydawało się, że osiągnięto konsensus w sprawie cyberbezpieczeństwa i wprowadzania zmian poprzez skuteczną komunikację z resztą firmy.
Podczas gdy świadomość bezpieczeństwa informacji i głośne naruszenia znajdują się na pierwszym planie większości organizacji, niedawne badanie przeprowadzone przez Lance'a Spritznera na 220 specjalistach ds. świadomości bezpieczeństwa ujawniło trzy powiązane ze sobą kluczowe ustalenia. Po pierwsze, dla udanego programu podnoszenia świadomości bezpieczeństwa niezbędne jest wsparcie wykonawcze i finansowe. Po drugie, ze względu na techniczny charakter tradycyjnych środków kontroli bezpieczeństwa i środków zaradczych, brakuje umiejętności miękkich niezbędnych do zrozumienia i zmiany ludzkich zachowań, a wreszcie, jeśli chodzi o model dojrzałości, świadomość bezpieczeństwa jest wciąż w powijakach.
Wyzwanie pomiaru
Skuteczne mierzenie ryzykownych zachowań ludzi jest trudne, ponieważ ryzykowne zachowania, przekonania i spostrzeżenia są często nieznane. Ponadto ataki, takie jak phishing , socjotechnika oraz incydenty, takie jak wycieki danych i wrażliwe dane publikowane w serwisach społecznościowych, a nawet naruszenia pozostają niewykryte i nieznane, co utrudnia określenie i zmierzenie punktów awarii. Często ataki, incydenty i naruszenia są reagowane lub zgłaszane spoza zaatakowanej organizacji po tym, jak atakujący zatarli swoje ślady, a zatem nie można ich proaktywnie badać i mierzyć. Ponadto złośliwy ruch często pozostaje niezauważony, ponieważ osoby atakujące często szpiegują i naśladują znane zachowanie, aby zapobiec wykryciu włamań lub alertom monitorowania dostępu.
W badaniu z 2016 r. opracowano metodę pomiaru świadomości bezpieczeństwa. W szczególności mierzyli „zrozumienie obchodzenia protokołów bezpieczeństwa, zakłócania zamierzonych funkcji systemów lub zbierania cennych informacji oraz unikania przyłapania” (s. 38). Naukowcy opracowali metodę, która umożliwia rozróżnienie między ekspertami a nowicjuszami, poprzez organizowanie różnych scenariuszy bezpieczeństwa w grupy. Eksperci zorganizują te scenariusze w oparciu o scentralizowane tematy dotyczące bezpieczeństwa, podczas gdy nowicjusze będą organizować scenariusze w oparciu o powierzchowne tematy.
Tam, gdzie regularnie przeprowadzane są symulowane kampanie phishingowe , mogą one zapewnić pomiar zgodności użytkowników.