четвртак, 23. март 2017.

Uticaj ljudskog faktora na bezbednost


Ljudski faktor je uzrok više od 75% bezbednosnih incidenata. Velika većina ovih incidenata nastala je slučajno, jer zaposleni nisu svesni posledica svojih (obično bezopasnih) akcija.
Zato je važno da svako razume šta su verovatne pretnje po imovinu i kompletno poslovanje preduzeća i kako da pravilno delujemo da se smanje rizici svojstveni tim pretnjama. Takođe, svaki zaposleni mora biti potpuno svestan njene /njegove uloge u zaštiti sistema prilikom upravljanja ljudima, informacijama i imovinom.

Zašto je čovek najslabija karika?
Ako pogledamo osnovne elemente svakog sistema videćemo da postoje tri osnovna elementa a to su: oprema, okruženje i ljudi.
Oprema se može testirati, duplirati, monitorisati a moguća je i automatska detekcija kvarova. Okruženje se može monitorisati, dodatno zaštititi, mogu se koristiti bekap lokacije, može se automatizovanoti odgovor na incidente (IR).
Međutim za razliku od prethodna dva elementa ljudi imaju veliki broj načina mogućih interakcija, ogromna je raznolikost i broj učesnika i što je najbitnije ponašanje je nepredvidljivo.

Koje su moguće kategorije ljudskog faktora u firmama?

  • Korisnici (Users)
    • Nedostatak svesnosti (awareness)
  • Inženjeri (engineers)
    • Nedostatak vremena za proveru i testiranje
  • Menadžeri (managers)
    • Odbacivanje odgovornosti
    • Ne definisanje pravila ili loše definisanje
    • Ne pružanje dovoljno sredstava
  • Napadači (attackers)
    • Profesionalci „bad-guys “
    • Nazadovoljni zaposleni
Da li postoji rešenje problema?
Na ovo pitanje je veoma teško ako ne i nemoguće dati tačan odgovor. Prva stvar koja je bitna jeste da je za rešavanje problema ljudska inteligencija neophodna. Druga stvar koja nije ništa manje bitna jeste edukacija kroz različite vrste specijalizovanih i prilagođenih treninga (knowledge & skills). Treća stvar na kojoj se mora raditi jestedisciplina i motivacija kroz precizno definisanja pravila ponašanja i konsekvenci u slučaju kršenja datih pravila (Rules & consequences). Četvrta stvar je kreiranje procedura koje će biti adekvatne (procedure) i poslednja ali ne i najmanje važna stvar jeste etičko hakovanje (Penetration testing) jer jedino na ovakav način možemo biti svesni postojećih problema i samim tim imati mogućnosti da reagujemo i da smanjimo ili onemogućimo mogućnost zloupotrebe sistema. Ovde napominjem da ovo etičko hakovanje mora da obuhvati i testiranje zaposlenih a ne samo hardvera i softvera.

0 коментара:

Постави коментар