Uticaj ljudskog faktora na bezbednost

Zato je važno da svako razume šta su verovatne pretnje po imovinu i kompletno poslovanje preduzeća, i kako da pravilno delujemo da se smanje rizici svojstveni tim pretnjama. Takođe, svaki zaposleni mora biti potpuno svestan svoje uloge u zaštiti sistema prilikom upravljanja ljudima, informacijama i imovinom.

Ljudski faktor je uzrok više od 75% bezbednosnih incidenata. Velika većina ovih incidenata nastala je slučajno, jer zaposleni nisu svesni posledica svojih (obično bezopasnih) akcija.

Zato je važno da svako razume šta su verovatne pretnje po imovinu i kompletno poslovanje preduzeća, i kako da pravilno delujemo da se smanje rizici svojstveni tim pretnjama. Takođe, svaki zaposleni mora biti potpuno svestan svoje uloge u zaštiti sistema prilikom upravljanja ljudima, informacijama i imovinom.

Zašto je čovek najslabija karika?

Ako pogledamo elemente svakog sistema videćemo da postoje tri osnovna elementa a to su oprema, okruženje i ljudi. Oprema se može testirati, duplirati, monitorisati a moguća je i automatska detekcija kvarova. Okruženje se može monitorisati, dodatno zaštititi, mogu se koristiti backup lokacije, može se automatizovati odgovor na incidente (IR). Međutim, za razliku od prethodna dva elementa ljudi imaju veliki broj načina mogućih interakcija, ogromna je raznolikost i broj učesnika i što je najbitnije ponašanje je nepredvidljivo.

Koje su moguće kategorije ljudskog faktora u firmama?

  • Korisnici (users)
  • Nedostatak svesnosti (awareness)
  • Inženjeri (engineers)
  • Nedostatak vremena za proveru i testiranje
  • Menadžeri (managers)
  • Odbacivanje odgovornosti
  • Nedefinisanje pravila ili loše definisanje
  • Nepružanje dovoljno sredstava
  • Napadači (attackers)
  • Profesionalci (bad guys)
  • Nezadovoljni zaposleni

Da li postoji rešenje problema?

Na ovo pitanje je veoma teško ako ne i nemoguće dati tačan odgovor. Prva stvar koja je bitna jeste da je za rešavanje problema neophodna ljudska inteligencija. Druga stvar koja je ništa manje bitna jeste edukacija kroz različite vrste specijalizovanih i prilagođenih treninga (knowledge and skills). Treća stvar na kojoj se mora raditi jeste disciplina i motivacija kroz precizno definisanje pravila ponašanja i konsekvenci u slučaju kršenja datih pravila (rules and consequences). Četvrta stvar je kreiranje adekvatnih procedura (procedures). Poslednja ali ne i najmanje važna stvar jeste etičko hakovanje (penetration testing), i jedino na ovakav način možemo biti svesni postojećih problema i samim tim imati mogućnosti da reagujemo, odnosno da smanjimo ili onemogućimo mogućnost zloupotrebe sistema. Ovde napominjem da etičko hakovanje u ovom slučaju mora da obuhvati i testiranje zaposlenih a ne samo hardvera i softvera.

Author: Igor Franc
Scroll