Postoji rašireno uvjerenje da je kibernetička sigurnost organizacije stvar tehnologije: dovoljno je imati pravi antivirusni program, firewall i neka IT rješenja pa je posao obavljen. To uvjerenje je pogrešno, i skupo pogrešno.
Kibernetička zaštita organizacije počiva na tri nosiva stupa: ljudima, procesima i tehnologiji. Tehnologija je samo jedan od njih, i bez ostala dva ne može funkcionirati.
Ljudi su najranjivija karika
Za malo ili srednje poduzeće, najvjerojatniji put napada vodi kroz ljude. Zaposlenici koji koriste slabe lozinke, otvaraju phishing mailove ili se ulogiravaju u poslovne sustave s privatnih uređaja stvaraju ranjivosti koje ni najskuplji softver ne može pokriti.
No, to ima i svoju pozitivnu stranu: relativno jeftinim ulaganjem u svijest i navike zaposlenika moguće je značajno smanjiti rizike. Dobar polazni korak je skup jasnih i konkretnih pravila koja zaposlenici mogu usvojiti bez tehničke pozadine. Na primjer:
- za svaki korisnički račun koristite posebnu lozinku;
- lozinke za poslovne račune mijenjajte redovito;
- ne ulogiravajte se u poslovne račune s privatnih uređaja, posebno onih koje dijeli više osoba (primjerice obiteljska računala);
- pristup uređajima zaštitite lozinkom;
- poslovne dokumente ne pohranjujte na privatni mail, u privatni cloud ili na privatne uređaje poput USB-a.
Uz to, važno je zaposlenicima pokazati kako izgledaju phishing mailovi i redovito ih informirati o aktualne vrstama prevara.
Procesi daju okvir
Dobra pravila nemaju puno smisla ako nisu dio uspostavljenog procesa. Procesi definiraju tko što smije raditi, kako se postupa s osjetljivim podacima, što se događa u slučaju incidenta i kako se provodi onboarding novih zaposlenika u pogledu sigurnosti.
Bez procesa, sigurnost ovisi o tome je li određeni zaposlenik tog dana pažljiv ili nije. To nije prihvatljiv rizik.
Tehnologija podupire, ali ne zamjenjuje
Tek kad su na mjestu odgovorni ljudi i jasni procesi, tehnologija može odigrati svoju ulogu. Antivirusni programi, firewallovi, sustavi za detekciju prijetnji i slična rješenja su vrijedna i važna, ali su učinkovita samo kao treći nosivi stup zaštite, ne kao jedini.
Gdje početi?
Ako kibernetička sigurnost u vašoj organizaciji još nije sustavno naslovljena, preporuka je početi upravo od prvog nosivog stupa. Procijenite kakve su navike vaših zaposlenika, uspostavite osnovna pravila i provjerite razumiju li ih svi koji imaju pristup poslovnim sustavima. To je brže, jeftinije i učinkovitije nego što većina pretpostavlja.