SecureTrends - ComputerTrends magazin 2024.06.06.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
- No tags were found...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ANGYAL DÁNIEL<br />
üzletfejlesztési vezető,<br />
Scirge<br />
SECURETRENDS<br />
A felhasználói biztonsági<br />
tudatosság részvétel<br />
Bár évek óta zengi a biztonságtechnikai ipar, hogy a felhasználói tudatosság<br />
a legolcsóbb és leghatékonyabb eszköze az incidensek megelőzésének, az üzleti<br />
logika ennek sokszor pont az ellenkezőjében érdekelt.<br />
A<br />
biztonságtechnikai gyártók egyre<br />
komplexebb „platformizált” rendszereket,<br />
Concorde-effektust<br />
létrehozó beszállítói függőségeket és<br />
felhőből érkező „veszély-intelligenciára”<br />
alapuló előfizetéseket szeretnek<br />
értékesíteni, amelyek eredményessége<br />
bár nem kétséges, de mégis nagyon<br />
nehezen mérhető szilárd alapokon.<br />
Előremutató, hogy szemben a korábbi<br />
ajánlások és szabványok felületes<br />
iránymutatásaival, a NIS2 – egyelőre<br />
nem végleges – kontroll-listájában<br />
kifejezetten részletes elvárásokat<br />
fogalmaztak meg a hatékony képzések<br />
kapcsán, bár ezen elvárásoknak nagy<br />
része sajnos (jelen állás szerint) még<br />
a legmagasabb „Biztonsági osztály”<br />
mellett sem kötelező. Üdítő ellenpélda a<br />
„3.9. Szerepkör alapú biztonsági képzés”<br />
és azon belül is a 3.9.3-as kontrollpont,<br />
amely viszont mindenki számára<br />
elvárás:<br />
„Beépíti a belső vagy külső biztonsági<br />
eseményekből levont tanulságokat a<br />
szerepköralapú biztonsági képzésekbe.”<br />
A „szerepköralapú” megfogalmazás<br />
implikálja, hogy eltérő jogosultsági<br />
szintekhez vagy üzleti funkciókhoz, szervezeti<br />
szerepekhez tartozzanak eltérő<br />
tematikák. Ennél még fontosabb, hogy<br />
a képzés a szervezetben tényleg felmerülő<br />
fenyegetettségek és események<br />
figyelembevételével, azokra visszautaló<br />
tematikával történjen.<br />
A biztonsági oktatás mindezek ellenére<br />
a legtöbbször évi néhány találkozási<br />
pont esetében inkább egy kötelező<br />
rossz tananyagnak tűnhet a szakmán<br />
kívülieknek. Ráadásul, mérés nélkül<br />
teljesítmény-indikátorokat sem egyéni,<br />
sem szervezeti szinten nem tudnak<br />
befolyásolni.<br />
Oktatás helyett részvétel<br />
A helyes megközelítés véleményem<br />
szerint két alappillérből áll: egyrészt a<br />
munkatársak bevonása az őket személy<br />
szerint érintő biztonsági kérdések<br />
teljes életciklusába, másrészről pedig<br />
a személyes teljesítményük valamilyen<br />
egzakt mérése.<br />
Amennyiben például a helyes jelszóhasználat<br />
általános praktikái és komplexitási<br />
szabályai helyett mindenkit a<br />
saját maga által létrehozott accountok<br />
és jelszavak biztonságára figyelmeztetünk,<br />
(vagy megkérdezzük, hogy<br />
bekapcsolták-e az MFA-t egy külső<br />
portálon), nagyobb esélyt látok rá, hogy<br />
azzal tényleg kezdjenek valamit. Ezt<br />
ráadásul viszonylag könnyen mérhetővé<br />
is tehetjük a felderitett jelszavak gyenge<br />
jelszavak számossága alapján.<br />
Ugyanilyen módon, ha az adatkezelési<br />
alapelvek oktatása helyett megkérdezzük<br />
őket, milyen személyes adatokkal<br />
dolgoznak egy-egy olyan konkrét alkalmazásban,<br />
amit személy szerint gyakran<br />
használnak, több értékes információt<br />
kaphatunk a tényleges üzleti folyamatokról.<br />
Ráadásul talán megfontoltabb<br />
adatkezelési döntésekre késztethetjük<br />
őket a következő alkalommal, amelyet<br />
a DLP rendszerek riasztásai is kiválóan<br />
visszamérhetnek.<br />
A személyre szabott és szerepkör-alapú<br />
oktatás tehát feltételezi, hogy<br />
mi is rendelkezünk némi információval<br />
arról, mit csinál általában az adott<br />
munkatársunk, milyen kockázatokat<br />
hordozhat a tevékenysége és hogyan<br />
tudjuk erre felhívni a figyelmét.<br />
Abban a pillanatban, hogy ezek<br />
alapján adunk (vagy kérünk) visszajelzést,<br />
az oktatás kétirányú kommunikációvá<br />
változik. Házi feladat megoldások<br />
helyett olyan tevékenységekre kérhetjük<br />
meg őket, amelyek folyamatában javítják<br />
a vállalatot érintő kockázatokat.<br />
Cégenként eltérő megoldások és<br />
technológiák lehetnek erre alkalmasak,<br />
de az egészen biztos, hogy a felhő<br />
helyes használata és a jelszóhigiénia<br />
két olyan alappillér, amire mindenhol<br />
érdemes alapozni. A Scirge személyre<br />
szabott oktatófelületén pont erről a két<br />
témáról tudunk egy egyedi tartalommal<br />
felépített mini-portált üzemeltetni.<br />
Sok vállalatnak egy ilyen lépéssel<br />
kezdődhet a kollégák<br />
bevonása a biztonsági<br />
folyamatokba, hogy<br />
aktív részvétellel<br />
segíthessék a security<br />
üzemeltetőket.<br />
18 | <strong>ComputerTrends</strong> | 2024. június