Ovaj post predstavlja nastavak prethodnog i ima za cilj da ukaže na važnost obuke zaposlenih koja je čini mi se u našoj zemlji neopravdano zapostavljena. Ima jedna stara priča za to kada su pitali jednog direktora zašto toliko ulaže u svoje zaposlene kada oni mogu svakog trenutka otići da rade u drugu kompaniju na šta je on odgovorio "Može da s dogodi da zaposleni u koga ja uložim novac napusti kompaniju i ode da radi za konkurenciju ili otvori svoj privatni biznis ali sa druge strane može da se dogodi da ja ne uložim u njegovu obuku a da on ostane, šta ću onda da radim sa njim?". Ovaj direktor je potpuno u pravu iako on ovde priča o veštinama koje su potrebne za obavljanje posla a u ovom našem slučaju radi se o ulaganju u obuku zaposlenih u oblasti poznavanja sajber pretnji koje svakodnevno vrebaju sve na internetu. Priča je skoro ista, ulaganjem u obuku zaposlenih na svim nivoima jeste da ćete potrošiti određeni novac međutim ukoliko takva obuka spreči samo jedno curenje važnih podataka ili infekciju interne mreže kompanije ona se odmah iz prve isplatila a da ne pričamo o tome ako se na ovaj način spreči više različitih vrsta napada čija se vrednost ni ne može preračunati jer osim opipljivih stvari koje se mogu ukrasti postoji i nešto što se zove imidž firme koji na ovaj način može mnogo biti urušen što može izazvati izuzetne finansijske gubitke pa čak kod nekih kompanija i prestanak poslovanja zbog gubljenja poverenja kod svojih klijenata.
Kako treba da izgleda jedna ovakva obuka
Ovakva obuka uglavnom ne treba da traži bilo kakva predznanja i sprovodi se u kraćem trajanju od maksimalno 2 školska časa odnosno 90min. Treba da bude što praktičnija i da se zaposlenima predstave sve pretnje kao i tehnike kako da ih prepoznaju i odbrane se od njih. Potrebno je ovde promovisati sigurnosne principe kojih se obično pridržavaju profesionalci u svakodnevnom radu kako bi i oni mogli da imaju od toga koristi. Ovde se pre svega misli na osnovne stvari, od politike lozinki pa do šifrovanja fajlova i sigurnog korišćenja email-a. Nije dobro da postoji jedna generička obuka već se svaka ovakva obuka priprema za kompaniju klijenta jer postoje specifičnosti koje je potrebno obraditi u pojedinim slučajevima a koji mogu dosta da utiču na opšte stanje bezbednosti. Ovakve obuke su poznate kao security awareness i predstavljaju vrhunac praktičnih primera iz prakse gde se zaposleni uče na tuđim greškama šta ne treba da rade i kako ne treba da se ponašaju!
Koje sve zaposlene treba obučavati ovakvim treninzima
Odgovor na ovo pitanje jeste apsolutno SVE! Nikada ne možete znati gde će napadač pokušati da udari odnosno ko će mu biti prva meta. Uopšte ne mora da znači da će to biti IT služba kao što veliki broj ljudi misli, naprotiv po nekim statistikama najveći broj pokušaja napada je bio na HR službu jer oni su pravo mesto za pokušaj ulaska u sistem. SECIT security tim sprovodi ovakve obuke već neko vreme i postoje razvijene obuke za sledeće kategorije:
- Trening-obuka za fizičko obezbeđenje
- Trening-obuka za šalterske službenike
- Trening-obuka za kancelarijske radnike
- Trening-obuka za menadžment
- Trening-obuka za radnike CALL centra
- Trening-obuka za finansijsku službu
- Trening-obuka za HR službu (ljudski resursi)
- Trening-obuka za radnike koji delatnost obavljaju na terenu
Pošto sam u prethodnom postu već pisao o socijalnom inženjeringu ovde se neću baviti tom temom pa koga zanima neka pročita prethodni post. Upravo su socijalni inženjeri najveća opasnost po zaposlene u kompaniji. Nadam se da sam ovim postom uspeo da vas bar malo pokrenem na razmišljanje o ovoj temi i ako jesam to je sasvim dovoljno za početak.
To kako ce izgledati konkretan trening zavisi od konkretnog treninga, broja polaznika, teme...Ali je svakako pametno i dobro uloziti u obuku i trening zaposlenih jer zadovoljni i obuceni zaposleni Vama kao vlasniku ili nadredjenom donose vise koristi.
ОдговориИзбриши