Oczekiwania firm wobec pracowników ciągle się zmieniają, dlatego też utrzymywanie ich zaangażowania może być wyzwaniem. Podajemy trzy wskazówki na temat uzyskania zaangażowania oraz przeprowadzania szkoleń z cyberbezpieczeństwa dla osób wykonujących pracę zdalną.
Jednymi z największych i ciągle utrzymujących się wyzwań dla specjalistów od świadomości zagrożeń w sieci jest skuteczne uzyskanie zaangażowania i przeprowadzanie szkoleń z cyberbezpieczeństwa dla ludzi wykonujących pracę zdalną oraz osiągnięcie pozytywnych wyników, skutkujących ich bezpieczną pracą w sieci. Wielu z nas myślało, że praca zdalna zakończy się w 2022 roku wraz z powrotem do normalności po zakończeniu pandemii, jednak okazało się, że byliśmy w błędzie. Dlatego też obecnie, w roku 2023, powinniśmy się zastanowić, co możemy zrobić w tej sytuacji jako specjaliści od świadomości zagrożeń w sieci. Po pierwsze – lepiej zdefiniujmy kluczowe wyzwania dla pracy zdalnej w 2023 roku.
Trzy obecne wyzwania dla pracowników wykonujących swoje obowiązki zdalnie
1. Przytłoczenie pracowników zmianami w życiu. Podobnie jak w ciągu ostatnich trzech lat, ludzie w 2023 roku będą przytłoczeniu ciągłymi zmianami. Wiele osób dopiero rozpoczęło pracę z domu. Życie małżonków także często się zmienia pod względem miejsc i sposobów pracy oraz podróży służbowych. Ludzie odchodzą z dotychczasowej pracy i rozpoczynają nową na innym stanowisku. Dla osób posiadających rodziny dochodzą jeszcze ciągłe zmiany w szkole i aktywności dzieci. Nawet tak proste rzeczy jak pójście do lekarza czy dentysty albo wykonanie prac domowych stały się bardziej skomplikowane. Dlatego ludzie są zestresowani i ledwo sobie radzą z codziennymi obowiązkami, nie wspominając już obaw o cyberbezpieczeństwo.
2. Ciągłe zmiany technologiczne. Obecnie, gdy ludzie pracują z domu, firmy realizujące cele długoterminowe dają swoim pracownikom znacznie szerszy dostęp do systemów oraz wrażliwych danych. Wraz z tym dostępem pojawia się więcej problemów technicznych. Pracownicy pod wieloma względami muszą stawać się swoim własnym działem pomocy technicznej (helpdesk). Obecnie na przykład muszą się uczyć, jak bezpiecznie udostępniać pliki, aktualizować i koordynować harmonogramy działań, wnioskować o dni wolne lub współpracować w sieci z innymi, wykorzystując wiele różnych narzędzi w chmurze. Każde z tych narzędzi posiada inny interfejs i inne opcje konfiguracyjne. Może też wymagać konserwacji ze strony wykorzystującego je pracownika zdalnego. Co prawda narzędzia te mogą dla niektórych z nas być łatwe w obsłudze, jednak dla wielu innych są często kłopotliwe. Poza tym często się zmieniają, co komplikuje sprawę. Przerzucenie na pracowników obsługi różnych nowych, skomplikowanych technicznie i trudnych technologii cyberbezpieczeństwa jedynie pogarsza jeszcze sprawę. Spójrzmy tylko na te akronimy: FDE, 2FA, VPN, SSO, MDM, IAM, EDR etc. Dla wielu osób brzmią one jak czarna magia.
3. Brak wystarczającej liczby specjalistów od cyberbezpieczeństwa w firmach. Niestety wiele przedsiębiorstw postrzega cyberbezpieczeństwo tylko lub zasadniczo jako kwestię czysto techniczną i zaczyna podchodzić do sprawy bardziej poważnie dopiero po jakimś poważnym incydencie, gdy firma poniesie straty. W wyniku takiej postawy działy informatyczne przedsiębiorstw cierpią na ogromny brak specjalistów od świadomości zagrożeń w sieci. Często jest to tylko jedna osoba w przedsiębiorstwie zatrudniającym dziesięć lub dwadzieścia tysięcy ludzi. Oznacza to, że każde z rozwiązań stosowanych przez takich specjalistów musi być proste pod względem planowania, tworzenia i zarządzania.
Radzenie sobie z wyzwaniami w 2023 roku
Poniżej podajemy informacje na temat rozwiązywania tych problemów oraz najważniejsze wskazówki dla specjalistów od zagrożeń w sieci w nadchodzącym 2023 roku.
1. Zasady bezpieczeństwa w sieci powinny być proste i zrozumiałe dla pracowników. Ludzie są przytłoczeni obowiązkami i ciągłymi zmianami, dlatego musimy ograniczyć nasze wymagania w stosunku do nich. Zasady cyberbezpieczeństwa powinny być dla pracowników jak najprostsze. Pierwszym krokiem ku temu jest zidentyfikowanie oraz skoncentrowanie się jedynie na najważniejszych zagrożeniach dla ludzi w danej firmie i kluczowych zachowaniach, które zmniejszają te zagrożenia. Jednak proste wysłanie pracownikom newslettera z podanymi najważniejszymi 25 działaniami mającymi na celu zapewnienie cyberbezpieczeństwa w pracy zdalnej nikomu nie pomoże, ponieważ ludzie zwykle nie mają czasu czytać tych 25 wskazówek oraz stosować się do nich. Wyjaśnianie ludziom np. takiej sytuacji, że „najnowsza aktywność w sieci stanowiąca zagrożenie APT ujawniła taktykę, techniki i procedury hakera próbującego wykraść dane uwierzytelniające pracowników i to jest przyczyną tego, że wirtualne sieci prywatne VPN zaczynają stosować uwierzytelnianie dwuskładnikowe (2FA)”, nie ma większego sensu, bo większość słuchaczy straci zainteresowanie tym trudnym tematem. Dlatego też powinniśmy skupić się na jak najmniejszej ilości zachowań ludzi, które mają największy wpływ na bezpieczeństwo i objaśniać je w prosty, zwięzły sposób, tak aby każdy mógł zrozumieć. Ponadto poprośmy kogoś nieobeznanego w sprawach technicznych, aby napisał lub przynajmniej zrecenzował nasze materiały szkoleniowe. Dzięki temu upewnimy się, że każdy odbiorca zrozumie te informacje. Treści pisane przez ludzi będących ekspertami od spraw technicznych są zwykle pisane dla innych takich ekspertów, a zwykli ludzie mogą ich nie rozumieć.
2. Należy skoncentrować się na korzyściach osobistych dla pracowników. Jeśli chcemy przyciągnąć uwagę ludzi, to powinniśmy skoncentrować się na ich korzyściach osobistych, takich jak zabezpieczenie ich finansów, domów lub dzieci. Komunikujmy się z ludźmi oraz angażujmy ich w taki sposób, aby ludzie widzieli w tym korzyści dla siebie. Wówczas ludzie będą o wiele prawdopodobniej słuchać i zmieniać swoje zachowania, ale zachowania te będą takie same i w domu, i w pracy. Najważniejsze oznaki cyberataku typu phishing (przestępca podszywa się pod inną osobę lub instytucję) są takie same, niezależnie od tego, czy jesteśmy w pracy, czy w domu. Silne hasła są podstawą i w pracy, i w domu. Tak samo aktualizacje systemów. Skupmy się na osobistych korzyściach dla ludzi, a będą oni nas słuchać i zmieniać swoje zachowania.
3. Należy odpowiednio organizować szkolenia i uzyskiwać zaangażowanie pracowników. E-maile są skuteczne, gdy ludzie nie są zbyt przytłoczeni. Firmy muszą znaleźć łatwy sposób na skuteczną komunikację z pracownikami. Dlatego musimy być trochę bardziej kreatywni, ponieważ każde przedsiębiorstwo jest inne, zarówno pod względem kultury, jak i sposobu działania. Dwie kluczowe cechy skutecznego angażowania pracowników w sprawy bezpieczeństwa w sieci to: krótko oraz interaktywnie. Zamierzamy zorganizować webinar? Pomińmy pokaz slajdów i zastąpmy go dynamicznym wywiadem z jakimś specjalistą ds. cyberbezpieczeństwa z działu informatyki. Zorganizujmy szkolenie na żywo w sieci, które będzie zawierać wymianę informacji w czasie rzeczywistym z uczestnikami przez 30 minut. A jeśli ludzie będą znużeni słuchaniem? Zaprośmy jakiegoś gościa – specjalistę z zewnątrz. Gościem może być ktoś reprezentujący organy ścigania albo urząd podatkowy. Pomińmy blog i zamiast niego stwórzmy interaktywne forum online, wykorzystując takie technologie jak komunikator internetowy Slack czy platformę współpracy zespołowej MS Teams. Jeśli kultura organizacyjna jest dobrze dopasowana, urozmaićmy doświadczenie edukacyjne za pomocą prostych eventów, takich jak gra Scavenger Hunt w sieci. Chcemy być trochę nowatorscy? Rozważmy wykorzystanie memów, infografiki lub krótkich filmów wideo (micro-videos). Twórzmy treści, w które sami chcielibyśmy się zaangażować.
1 ang. security awareness
2 Full-Disk Encryption; pełne szyfrowanie dysku
3 Two-Factor Authentication; uwierzytelnianie dwuskładnikowe
4 Virtual Private Network; wirtualna sieć prywatna
5 Single Sign-On; pojedyncze logowanie
6 Mobile Device Management; zarządzanie urządzeniami mobilnymi
7 Identity and Access Management; zarządzanie tożsamością i dostępem
8 Endpoint Detection and Response; wykrywanie i reagowanie na punktach końcowych
9 Advanced Persistent Threat; zaawansowane, trwałe zagrożenie
10 tactics, techniques, and procedures; TTP
Lance Spitzner posiada 20-letnie doświadczenie jako specjalista od cyberbezpieczeństwa w takich dziedzinach jak badanie cyberzagrożeń, architektura bezpieczeństwa oraz szkolenia ze świadomości zagrożeń w sieci. Jest on starszym instruktorem w Instytucie SANS (www.sans.org).