Skip to content. | Skip to navigation

Sections
Personal tools
You are here: Home Edukacja Artykuły Kultura bezpieczeństwa informacji
 

Kultura bezpieczeństwa informacji

W świecie, gdzie większość ataków obiera człowieka za swój cel, utrzymanie bezpieczeństwa jest możliwe przez zastosowanie odpowiednich środków ochrony oraz rozwijanie kultury bezpieczeństwa informacji w skali całej organizacji poprzez tzw. program Security Awareness.

Zabezpieczenia techniczne skutecznie przeciwdziałają zagrożeniom wykorzystującym podatności systemów operacyjnych, aplikacji, baz danych i innych technicznych elementów systemu informatycznego. Doskonale wiedzą o tym przestępcy i od wielu lat rozwijają metody włamań wykorzystujące podatności, których nie potrafią kontrolować środki techniczne - podatności użytkowników, m.in. brak świadomości zagrożeń, brak wiedzy i praktycznych umiejętności rozpoznawania zagrożeń, niewłaściwe zachowanie wynikające z braku ostrożności i lekceważenia obowiązków, itd.


Kadra zarządzająca i inne osoby odpowiedzialne za stan bezpieczeństwa firm stają przed trudnym zadaniem - jak firmy mogą prowadzić swoją działalność w sytuacji, gdy komputery pracowników są kontrolowane przez przestępców? Drive-by Download, Spear Phishing, Social Networks Phishing, Watering Hole, Advanced Persistent Threat (APT) – to tylko niektóre z technik włamań ukierunkowanych na użytkowników, które w ostatnich latach umożliwiały przestępcom przejęcie milionów komputerów i urządzeń mobilnych. W praktyce utrzymanie bezpieczeństwa jest możliwe przez zastosowanie odpowiednich zabezpieczeń technicznych, chroniących przed zagrożeniami client-side oraz realizowanie programu Security Awareness wśród wszystkich pracowników firmy.

 

Koncepcja działania nowej generacji zabezpieczeń Anti-Malware


W obszarze technicznym kluczową rolę w przeciwdziałaniu współczesnym zagrożeniom pełnią nowej generacji zabezpieczenia, zaprojektowane pod kątem efektywnej ochrony przed rozwijanymi przez przestępców nowymi technikami włamań, m.in.:

  • Nowej generacji Anti-Malware (m.in. Check Point Threat Emulation , Palo Alto Networks WildFire , Trend Micro Deep Discovery) - wykrywanie nieznanych złośliwych programów, tzw. 0-day malware przez uruchamianie i analizę działania programów w wirtualnych środowiskach, symulujących rzeczywiste systemy operacyjne (tzw. Sandboxing). Zobacz materiały w portalu edukacyjnym Szybki-Konfig.PL nt. rzeczywistego działania nowej generacji zabezpieczeń Anti-Malware.
  • Nowej generacji firewalle (m.in. Check Point , Palo Alto Networks) - kontrolują dostęp do niebezpiecznych aplikacji w Internecie, przez co minimalizują ryzyko infekcji komputerów; blokują ataki Drive-by Download, przez co minimalizują ryzyko propagacji Botnet, a także blokują nierozpoznaną komunikację sieciową, przez co w razie infekcji komputerów minimalizują ryzyko przejęcia nad nimi kontroli przez centrum sterowania Botnet.
  • Aplikacyjne firewalle Web (m.in. F5 Networks Application Security Manager , Imperva SecureSphere Web Application Firewall) - chronią aplikacje Web przed specyficznymi atakami jak SQL-Injection i Cross-Site Scripting, przez co uniemożliwiają włamanie do aplikacji i umieszczenie w niej złośliwego kodu, który atakuje użytkowników aplikacji, tzw. Watering Hole.
  • Firewalle baz danych (m.in. Imperva SecureSphere Database Firewall) - monitoruje, kontroluje i precyzyjnie rozlicza dostęp do bazy danych, mając na celu zablokowanie przestępcom dostępu i możliwości manipulacji danych, a legalnym użytkownikom zapewnienie dostępu do informacji zgodnie z uprawnieniami.


Cykl zarządzania podatnościami w organizacji (wg metodyki Rapid7)

Doświadczenia audytorów bezpieczeństwa oraz raporty na temat incydentów wydawane przez uznawane instytucje (m.in. CERT) pokazują, że firmy w Polsce lekceważąco podchodzą do jednego z fundamentalnych elementów systemu bezpieczeństwa - zarządzania podatnościami, tzw. Vulnerability Management. Identyfikacja i redukcja podatności w znacznym zakresie minimalizuje ryzyko incydentów. Zarządzanie podatnościami jest także ważnym wymaganiem stawianym przez standardy bezpieczeństwa, m.in. PN-ISO/IEC 27001 punkt A.12.6., PCI-DSS punkt 6.2., a także wymaganiem nowej "Rekomendacji D" wydanej przez Komisję Nadzoru Finansowego (punkty 9.21., 9.25. oraz 18.7.). Najbardziej zaawansowane technicznie narzędzia, pokrywające cały cykl zarządzania podatnościami w organizacji dostarcza firma Rapid7 – właściciel skanera Nexpose i legendarnego pakietu Metaspoit.



Utrzymanie wśród wszystkich pracowników firmy kultury bezpieczeństwa informacji pozwala na skuteczne przeciwdziałanie wielu zagrożeniom, z którymi nie dają sobie rady zabezpieczenia techniczne, jak Spear Phishing, Social Networks Phishing i APT. Pod pojęciem tworzenia kultury bezpieczeństwa informacji kryją się specjalistyczne szkolenia Security Awareness dla wszystkich pracowników firm oraz działania wspierające utrzymanie właściwych i zmianę negatywnych zachowań pracowników. Szczególną rolę kultury bezpieczeństwa informacji podkreśla nowa "Rekomendacja D" Komisji Nadzoru Finansowego (punkty 5.4., 9.7., 11.8., 12.4., 14.2., 14.3., 20.4.).
W programie Security Awareness w zależności od specyfiki i potrzeb organizacji mogą razem ze szkoleniami występować inne działania, m.in.:

  • testy socjotechniczne,
  • ostrzeżenia o nowych zagrożeniach,
  • zalecenia dotyczące bezpieczeństwa nowych usług IT,
  • działania motywacyjne (np. dyplomy potwierdzające dobry wynik szkolenia, upomnienia za słabe wyniki edukacji, raporty nt. groźnych ataków na komputery użytkowników, itp.).

Efektywne kosztowo rozwijanie kultury bezpieczeństwa informacji w skali całej organizacji jest możliwe dzięki zastosowaniu nowoczesnych technik kształcenia. Każdy pracownik firmy powinien być przygotowany na zagrożenia Internetu. Wiedza i umiejętności pracowników powinny być przy tym regularnie odświeżane i aktualizowane. W praktyce nie jest możliwe organizowanie tradycyjnych, stacjonarnych szkoleń dla wszystkich pracowników firmy. Rozwiązaniem są nowoczesne szkolenia e-learningowe. W odpowiedzi na potrzeby polskiego rynku ośrodek edukacyjny Clico rozszerzył ofertę o profesjonalne szkolenia Security Awareness.


Wszystkie lekcje oferowanego przez Clico szkolenia zostały opracowane w języku polskim w sposób zrozumiały dla każdego pracownika, także osoby nie-techniczne. Projekcja głosu nagrana została przez zawodowego aktora. Treść materiałów szkoleniowych oraz metody przekazu są dostosowane do mentalności i kultury polskich organizacji. Zawarte w szkoleniu przykłady praktyczne opracowane zostały na podstawie doświadczeń z rzeczywistych audytów bezpieczeństwa w polskich przedsiębiorstwach. Materiały kursu e-learning są regularnie aktualizowane o nowe zagrożenia Internetu. Na życzenie firm materiał szkolenia może zostać rozszerzany i dostosowywany do specyficznych potrzeb.

Szkolenia Security Awareness w języku polskim dostępne w formie e-learningowej

W przypadku tematyki Security Awareness efektywność kształcenia nowoczesnego szkolenia e-learningowego jest zbliżona do szkolenia stacjonarnego. Animowana forma szkolenia sprawia, że ludzie z dużym zaangażowaniem biorą udział w zajęciach. Łatwy, intuicyjny interfejs graficzny umożliwia odbycie szkolenia bez wstępnego przygotowania. Materiał podzielony jest na krótkie 5-10 minutowe lekcje, które pracownicy mogą odbywać z dowolnego miejsca, w dowolnym czasie. Uczestnicy zajęć sami decydują o tempie projekcji szkolenia – w dowolnym momencie mogą przerwać i później powrócić do kursu, jak również zapoznać się z wcześniej prezentowanym materiałem.


Zajęcia kładą nacisk na praktyczne umiejętności rozpoznawania zagrożeń i podejmowania właściwych zachowań. Materiały dydaktyczne zostały opracowane we współpracy pomiędzy specjalistami z metod zdalnego nauczania osób dorosłych oraz ekspertami bezpieczeństwa IT. Adaptacyjny program nauczania na bieżąco dostosowuje prezentowany materiał do stanu wiedzy osób uczących się – w razie problemów z przyswajaniem wiedzy w sposób dynamiczny dodawane są lekcje uzupełniające. Wyniki nauczania są rejestrowane i prezentowane w formie raportów. Dzięki temu firmy posiadają aktualne informacje na temat stanu i postępów kształcenia wszystkich swoich pracowników.


Więcej informacji nt. e-learningowych szkoleń Security Awareness .

Cookie info

Close