Interni rizik nije samo stvar malicioznih hakera. Većinom se radi o greškama. Neko pošalje osjetljivu datoteku na pogrešnu adresu ili postavi dokument na lični cloud kako bi radio od kuće. U mnogim slučajevima ne postoji loša namjera, jer su mnogi incidenti uzrokovani nemarom, a ne zlonamjernošću.
Ipak, maliciozni insajderi mogu biti pogubni. Neki kradu intelektualno vlasništvo, drugi su podmićeni ili pod pritiskom vanjskih grupa da instaliraju ransomware, izvuku poslovne tajne ili obustave operacije.
Uticaj internog rizika osjeća se u cijeloj organizaciji i više nije ograničen samo na tim za cyber sigurnost. Prema Code42, 86% ispitanika navodi da bi interni incident uticao na kulturu kompanije.
Detekcija nije dovoljna
Prema Zachu Capersu, višem sigurnosnom analitičaru iz Capterra-e, preduzeća koja na odgovarajući način ograničavaju podatke imaju dvostruko veće šanse da izbjegnu interne napade. Organizacije bi trebale primijeniti princip najmanjih privilegija, osiguravajući da zaposleni imaju pristup samo podacima potrebnim za njihov posao. Korisnici sa visokim privilegijama trebali bi biti pažljivo nadgledani, a upotreba administrativnih prava svedena na minimum.
Primamljivo je osloniti se na alate. Savremene platforme mogu označiti čudno ponašanje, pratiti kretanje datoteka i obavijestiti sigurnosne timove. Ali detekcija ne rješava dublji problem.
Isključivo tehnički odgovor na interni rizik može promašiti suštinu – moramo razumjeti ljudsku stranu. To znači obratiti pažnju na obrasce, motivacije i kulturu. Pretjerano nadgledanje bez konteksta može otjerati dobre ljude i povećati rizik umjesto da ga smanji.
Kada je riječ o nadgledanju na radnom mjestu, jasnoća i otvorenost su ključni. “Transparentnost počinje sa namjernom komunikacijom,” rekao je Itai Schwartz, CTO kompanije MIND. To znači biti otvoren prema zaposlenima – ne samo da se nadgledanje vrši, već i šta se nadgleda, zašto je to važno i kako pomaže u zaštiti i kompanije i zaposlenih.
Prema Schwartzu, organizacije često dobiju podršku zaposlenih kada jasno povežu nadgledanje sa sigurnošću, a ne nadzorom. “Zaposleni zaslužuju da znaju da se nadgledanje vrši radi zaštite podataka – a ne praćenja pojedinaca,” rekao je. Ako ljudi vide kako to koristi i njima i poslovanju, vjerovatnije je da će to podržati.
Preciznost je ključna. Schwartz savjetuje da se jasno navede koje vrste aktivnosti, podataka ili sistema se nadgledaju i objasni kako se generišu upozorenja. “Dokumentacija bi trebala biti lako dostupna, jednostavna za razumijevanje i naglašena tokom uvođenja i obuke,” rekao je.
Etničko nadgledanje takođe podrazumijeva postavljanje granica. Schwartz naglašava važnost proporcionalnosti: prikupljati samo ono što je relevantno i neophodno. “Dozvolite zaposlenima da razumiju kako njihovo ponašanje utiče na rizik i koristite te informacije za usmjeravanje, a ne za kažnjavanje,” rekao je. A ako vaš pristup nadgledanju ne možete udobno podijeliti sa svojim timom? “Vjerovatno zahtijeva doradu.”
Na kraju, Schwartz kaže da je cilj “izgraditi sisteme koji poštuju privatnost korisnika dok štite podatke organizacije.”
Jednostavne politike, pametna kontrola pristupa
Često zaposleni ne znaju da stvaraju rizik. Zbunjujuće politike to samo pogoršavaju. Sigurnosni timovi trebali bi pisati kratke politike, povezane sa specifičnim radnim ulogama.
Nemojte zakopavati očekivanja u PDF koji niko ne čita. Obučite ljude koristeći stvarne primjere i pokažite im kako izgleda sigurno ponašanje u svakodnevnim zadacima.
Najmanja privilegija ostaje ključna kontrola. Ograničite pristup zaposlenih samo na datoteke i sisteme koji su im potrebni. Ali ne ostavljajte to bez nadzora. Dozvole se mijenjaju kada ljudi mijenjaju poslove, preuzimaju nove projekte ili prelaze u druge timove.
Redovno pregledajte pristup. Alati za upravljanje identitetom nude automatizovane tokove rada za upravljanje i reviziju pristupa.
Kruti sigurnosni protokoli, poput složenih procesa autentifikacije i veoma restriktivnih kontrola pristupa, mogu frustrirati zaposlene, usporiti produktivnost i dovesti do nesigurnih zaobilaznih rješenja, prema Ivanti-ju.
Prilikom kreiranja efikasnih sigurnosnih politika, jednostavnost i upotrebljivost trebaju imati prednost. “Najbolje sigurnosne politike su praktične, svjesne konteksta i prilagođene ljudima,” rekao je Eran Barak, direktor MIND-a. Umjesto da se oslanja na krute propise koji kažnjavaju greške, Barak zagovara politike koje usmjeravaju ponašanje na način koji ima smisla u svakodnevnom radu.
Kako bi politike ostale relevantne, Barak preporučuje ugradnju povratnih informacija. Politike ne bi trebale ostati statične dok se rizici mijenjaju. “Treba da evoluiraju, a ne da stagniraju,” rekao je. I što je važno, ne bi se trebale nametati odozgo bez doprinosa zaposlenih. “Kreirajte politike zajedno sa svojim timovima,” rekao je. “Ljudi koji imaju osjećaj vlasništva nad sigurnosnim odlukama mnogo su skloniji da ih usvoje.”
Kada je sprovođenje potrebno, ne mora biti strogo. Barak predlaže korištenje automatizovanih alata za slanje blagih upozorenja u stvarnom vremenu – kao što su edukativne poruke ili poruke koje traže od korisnika da objasni svoje postupke. Eskalirajte samo kada je to nužno. “Počnite sa blagim usporenjima i edukativnim porukama u stvarnom vremenu pri kršenju politike i omogućite korisniku da navede razlog,” rekao je.
I iznad svega, neka bude jednostavno. “Ako se politika ne može objasniti u nekoliko stavki ili putem poruke u Slack-u u datom trenutku, previše je komplikovana,” rekao je Barak.
Ponašanje je važnije od aktivnosti
Ljudsko ponašanje ostaje značajna ranjivost čak i u najsigurnijim okruženjima. Lideri u oblasti cyber sigurnosti stoga moraju usvojiti proaktivan, ljudski orijentisan pristup upravljanju rizikom, prema Mimecast-u.
Bilježenje svakog klika nije korisno. Umjesto toga, tražite znakove promjene. Da li je korisnik počeo da se prijavljuje u čudnim terminima? Da li je preuzeo velike količine podataka prije nego što je dao otkaz?
Alati za analizu ponašanja mogu otkriti ove trendove. Ali ljudi i dalje trebaju biti dio procesa pregleda. Algoritmi mogu označiti rizik, ali ljudi moraju odlučiti šta zaista predstavlja prijetnju.
Prema Joshu Harru, CSO-u kompanije Protasec, osiguravanje podrške rukovodstva i izgradnja široke svijesti su ključni. “Vjerujem da je prihvatanje i svijest o samom riziku najvažnija,” kaže Harr. “Predstavio sam rukovodiocima troškove ignorisanja podataka koje već imamo u organizaciji kako bismo osigurali da ne dođe do povećanog internog rizika.”
Ta svijest ne bi trebala stati na vrhu. “Svijest je također praktična za cijelu organizaciju,” dodaje on. Harr zagovara postepenu obuku na svim nivoima, posebno za direktore i menadžere, kako bi prepoznali potencijalne signale upozorenja u ponašanju. “Postepena obuka direktora, menadžera i ostalih kako da prepoznaju ponašanje puno znači.”
Kako bi operacionalizirao tu svijest, Harr je implementirao interne “scorecard” alate za ocjenjivanje rizika u organizacijama. Ovi alati analiziraju signale poput rezultata simulacija phishing, aktivnosti endpoints i ocjena rizika od malvera na individualnom nivou. “Ove kartice omogućuju organizaciji pristup zasnovan na riziku u istragama i lovu na prijetnje,” objašnjava on. “Kroz uspostavljanje osnovnih linija ponašanja korisnika na sistemima, lideri mogu imati sveobuhvatan uvid u to gdje se rizici nalaze i tako ostati informisani.”
Još jedan nedovoljno iskorišten alat za smanjenje internog rizika jeste praksa već uobičajena u mnogim industrijama: potvrda pristupa. “Godišnji pregledi pristupa pomažu u sprječavanju širenja opsega pristupa,” napominje Harr – ali samo ako se provode uz nadzor ponašanja i obuku. “Samo ako se prethodno navedeno provodi,” upozorava.
Omogućite sigurno prijavljivanje
Sigurnost zavisi od kulture. Zaposleni se moraju osjećati sigurno kada prijavljuju greške ili sumnjive radnje. Ako se boje kazne, ostaće tihi, a rizici će rasti.
“Redovno priznavanje i slavljenje sigurnog cyber ponašanja u timu ne samo da podiže one koji su marljivi, već i inspiriše druge da se uključe. To može uključivati prepoznavanje pojedinaca koji slijede najbolje prakse, prepoznaju potencijalne prijetnje ili doprinose poboljšanju sigurnosti,” objašnjava Emily Wienhold, specijalista za cyber edukaciju u kompaniji Optiv.
Anonimni alati za prijavu, politika otvorenih vrata i podrška od strane HR-a sve pomažu. Takođe pomaže podsjećanje ljudi da je cilj zaštita, a ne kazna.
Kultura igra veliku ulogu u prevenciji internih incidenata. Empatija i obuka su jednako važni kao i tehnologija.
“Kreiranje sigurnosno orijentisanog načina razmišljanja širom organizacije – kroz obuku i jasnu komunikaciju – osigurava da upravljanje rizicima prati nove prijetnje, podržavajući i inovacije i usklađenost,” rekao je Chris Wysopal, glavni sigurnosni evangelista u Veracode-u.
Saradnja sa HR-om i pravnom službom
CISO ne može sve sam. HR timovi mogu uočiti nezainteresovanost i označiti rane znakove problema. Pravni tim pomaže u snalaženju u pitanjima privatnosti i usklađenosti.
Izgradite mali međufunkcionalni tim za upravljanje internim rizikom. Taj tim bi trebao pregledati odluke o nadgledanju, usmjeravati istrage i štititi prava zaposlenih.
“Iskreno zanemarivanje ili namjerne radnje treba odgovarajuće tretirati, ali određivanje krivice i izricanje kazne mora biti posljednji korak u objektivnoj i razboritoj istrazi. To svakako ne bi trebalo biti podrazumijevano rješenje,” primjećuje Kai Roer, direktor kompanije Praxis Security Labs.
Izvor:Help Net Security
