Interné hrozby: ako sa efektívne brániť?
Problémom interných hrozieb sme vás previedli už dávnejšie, dnes Vám prinášame záverečnú časť tejto problematiky – riadene rizika vnútorných hrozieb. V poslednom blogu sme sa zaoberali tým, či je Vaša spoločnosť na tieto hrozby pripravená – teraz sa pozrieme na to, čo by pre účinnú obranu proti tomuto problému mala robiť.
Interné hrozby sú čoraz väčším problémom zameraným na ľudí – Vašich zamestnancov. V minulom roku tieto hrozby stáli organizácie 11,45 milióna dolárov – čo je nárast o 31% za iba dva roky. Zistenie incidentov vnútorných hrozieb môže byť náročné, pretože môžu zahŕňať zamestnancov, dodávateľov alebo partnerov. Nehovoriac o tom, že tri štvrtiny týchto incidentov sa stali náhodou.
Každý dobrý program na ochranu proti vnútorným hrozbám by mal obsahovať kombináciu správnych politík, postupov a procesov. Tu sú štyri základné súčasti, ktoré spadajú do týchto dvoch kategórií:
1. Vyšetrovanie a zmierňovanie hrozieb
Dôležitým aspektom každého programu na riadenie vnútorných hrozieb je schopnosť proaktívne zmierňovať vnútorné riziká. Organizácie najčastejšie reagujú na incidenty, ku ktorým už došlo, bez toho aby mali nejaký prehľad o možných rizikách predtým. Preto môže byť ťažké zistiť hlavnú príčinu incidentu – vyšetrovanie incidentov vnútorných hrozieb môže niekedy trvať týždne, mesiace alebo dokonca dlhšie.
Čím dlhšie vyšetrovanie trvá, tým je incident nákladnejší. Keďže interné hrozby zahŕňajú všetok personál, okrem IT tímov sú v týchto vyšetrovaniach zapojení všetci kľúčoví aktéri okrem iných aj personalisti, právni a riadiaci pracovníci.
Aktívne zníženie rizika vnútorných hrozieb znamená prehľad o používateľskej aj dátovej aktivite. Mnoho starších bezpečnostných nástrojov sa zameriava iba na dátovú časť problému. V skutočnosti sú to ľudia, čo presúvajú údaje. Jasné dôkazy o tom, kto čo kedy, kde a prečo mohol urobiť, môžu výrazne pomôcť pri vyšetrovaní. Ak je incident výsledkom chyby používateľa, tieto dôkazy môžu rovnako očistiť nevinných ľudí, ktorí sa len snažili vykonávať svoju prácu a žiadny únik informácií neplánovali.
2. Správa a politika
Dôkladný program začína jasne definovanou firemnou politikou. Je nevyhnutné zabezpečiť, aby tejto politike mohol ľahko porozumieť ktokoľvek v organizácii – vrátane externých dodávateľov alebo partnerov, ktorí pracujú s citlivými údajmi. Pravidelné školenie o zvyšovaní povedomia o bezpečnosti môže pomôcť posilniť túto politiku u používateľov (o tom si však ešte povieme neskôr).
Ďalšou vrstvou riadenia je interný plán, ktorý určuje reťazec velenia pri vyšetrovaní incidentov. Tieto zásady a postupy by mali zjednocovať aspekty bezpečnosti pri porušení/úniku dôverných informácií zo strany interných osôb s personálnymi povinnosťami organizácie. Mali by tiež všade, kde je to možné, brať do úvahy súkromie používateľov.
3. Preverenia zamestnancov
Preverenia potenciálnych zamestnancov minulosti boli štandardným operačným postupom pre mnoho organizácií v procese prijímania nových kolegov. Komplexná kontrola predchádzajúcich pracovných skúseností so zamestnancom môže odhaliť mnoho potenciálnych predchodcov vnútornej hrozby. Takéto kontroly môžu tiež pomôcť tímom ľudských zdrojov lepšie sa rozhodnúť o prijatí do zamestnania v súlade s právnymi protokolmi. Rozsah takýchto previerok je však obmedzený, a nie je jednoduché sa dostať k správnym informáciám.
V skutočnosti môžu byť ešte účinnejšie pravidelné kontroly na základe správania a sentimentu zamestnancov. Potenciálnymi indikátormi vnútorných hrozieb môžu byť napríklad finančný stres, nespokojnosť s prácou a podobné problémy s pracoviskom.
Vaši ľudia sú prvou líniou obrany proti vnútorným rizikám. Aj keď sa určité typy základného povedomia o bezpečnosť vzťahujú na všetkých zasvätených (zamestnancov, partnerov a dodávateľov), mali by ste sa usilovať aj o prispôsobenie svojho školenia. Napríklad privilegovaní používatelia IT by mali dostať inú úroveň školenia ako priemerný zamestnanec na základe samotnej úrovne prístupu.
Cieľom školenia by malo byť, aby sa Vaši používatelia dostali ďalej, než len do povedomia o bezpečnostných politikách a problémoch, ale aby ste ich skutočne vzdelávali. Používatelia by mali dostať pokyny, prečo a ako hodnotiť riziká a bezpečnostné dôsledky rôznych situácií. Bezpečnostný tím by mal tiež overiť, či pracovníci vedia, ako pri každodennom výkone používať osvedčené postupy v oblasti zabezpečenia.