ITHub

Security Awareness: egy új trendi terület

Security Awareness: egy új trendi terület
Farkas Gábor
Farkas Gábor
| ~3 perc olvasás

A Symantec és a Verizon által nemrégiben készített biztonsági jelentésekből az derül ki, hogy manapság a vállalatok ellen irányuló sikeres támadások többségének a hátterében valamilyen alkalmazotti hiba áll. A támadások kétharmada valamilyen phishing metódust alkalmaz (ez egy olyan technika, amelyben a támadó valamilyen megbízható félnek álcázza magát, félrevezetve ezzel az áldozatot); ez a módszer az FBI szerint is messze a legsikeresebb betörési forma. Ezek elkerülésében segíthet egy új, feljövőben lévő témakör, a security awareness.

Egy új trendi terület: Security Awareness

Mi az a security awareness (SA)?

Alapvetően a koncepció meglehetősen egyszerű: a cégen belüli biztonsági tudás és egyfajta hozzállás, amely segíti a phishing típusú támadások meggátolását. Az SA alapvetően nemcsak szoftverekre és adathalmazokra korlátozódik — ilyen policy nélkül fontos dokumentumokat hagyhatunk egy tárgyaló asztalán, egy repülőúton elveszhet az okostelefonunk, vagy akár véletlenül nyitva hagyhatjuk az épület amúgy védett bejáratát egy idegen előtt. Az SA az egész vállalati szervezetet érinti, beleértve az ügyfeleket és a beszállítókat is.

Ki felelős ezért, és mit csinál pontosan?

Bár az SA kialakítása és fenntartása lehet egy full time pozíció is, más, meglévő munkakörökbe is könnyen beilleszthető: jellemzően oktatók vagy helpdesk szakértők vehetnek fel ilyen feladatokat jelenlegi felelősségi körük mellé, de valójában bárki elláthatja, aki rendelkezik valamilyen IT és/vagy biztonsági háttérrel.

Az SA-ért felelős munkatárs fő célkitűzése, hogy a fent említett célok szerint alakítsa a szervezet biztonsághoz való hozzáállását. Ez legtöbbször célzott üzenetekkel valósul meg, amit az alkalmazottaknak címeznek. Természetesen minden vállalat kultúrája más, de azért a security awarenesst illetően rengeteg közös pont van. Például az SA-felelősnek minden esetben együtt kell működnie a menedzsmenttel a különböző szabályok és best practice-ek kialakításában.

Jellemzően ki kell alakítani a céges intraneten egy security awareness portált is, ahol folyamatos frissítésekkel tudjuk ellátni az alkalmazottakat. Egy ilyen portál tartalmazhat blogot, oktatási anyagokat, valamilyen kvízt, vagy akár különböző játékokat is a témával kapcsolatban.

Az SA-felelős fontos feladata még az eszkalációs folyamatok megtervezése. Minden alkalmazottnak, és a helpdesk munkatársaknak is tudniuk kell, pontosan mi a teendő, ha felmerül az esélye, hogy phishing támadás áldozataivá váltak, elvesztettek egy laptopot/telefont, vírusos lett a számítógépük, vagy bármilyen gyanús körülményt tapasztalnak.

Végül, de nem utolsó sorban mindenképpen szükséges valahogyan mérni, követni az SA program eredményeit. Ez nem könnyű, hiszem problémás lehet kifejező mérőszámok meghatározása, így általában anekdotális forrásokra is szükség van ahhoz, hogy értékelni tudjuk a bevezetett folyamatok sikerességét.

Összefoglalva

A cégek IT részlegei ma már óriási pénzeket költenek arra, hogy technikailag erős biztonsági rendszereket alakítsanak ki (többrétegű tűzfalak, szigorú jelszó szabályzatok, stb.), így a hackerek számára a legegyszerűbb támadási mód ma az ún. "social engineering", melynek során az alkalmazottak megtévesztésén keresztül férnek hozzá a vállalat belső rendszereihez, adataihoz. Ez a trend azt mutatja, hogy a cikkben ismertetett security awareness fontosabb, mint valaha, és jelentősége a jövőben valószínűleg tovább nő.