Το ανθρώπινο λάθος είναι κάτι το αναπόφευκτο, ακόμη και σε τομείς εξίσου εμπεριστατωμένους και τεχνικά αποτελεσματικούς όπως στην ασφάλεια του κυβερνοχώρου. Ενώ υπάρχουν μηχανισμοί για την πρόληψη και τον εντοπισμό τέτοιων περιστατικών, μερικές φορές, ακόμη και μια άρτια οργανωμένη επιχείρηση μπορεί να πέσει θύμα παραβίασης κυβερνοχώρου. Και αυτό είναι κάτι που μπορεί να συμβεί λόγω παρέμβασης από τον ανθρώπινο παράγοντα. Ευτυχώς, με τον εντοπισμό και την αντιμετώπιση των κοινών προβλημάτων οι οργανισμοί μπορούν να περιορίσουν το ανθρώπινο λάθος στο ελάχιστο. Με αυτό τον τρόπο διασφαλίζουν την άρτια λειτουργία της επιχείρησης.
Ο ανθρώπινος παράγοντας, παρόλο που αποτελεί ένα σημαντικό μη τεχνολογικό εμπόδιο για την ασφάλεια στον κυβερνοχώρο, τα δίκτυα και τα δεδομένα ενός οργανισμού μπορούν να προστατευθούν. Αυτό θα συμβεί εφόσον οι εργαζόμενοι υπακούουν σε ξεκάθαρες και σαφείς πολιτικές ασφάλειας. Για να γίνει αυτό, θα πρέπει να εξασκούνται και να συμμετέχουν σε τακτικές εκπαιδεύσεις και ασκήσεις για την ασφάλεια στον κυβερνοχώρο.
Σύμφωνα με έρευνα της IBM, ο ανθρώπινος παράγοντας εμπλέκεται στο 95% των λαθών ασφάλειας πληροφοριών. Οι διαχειριστές κινδύνου διαχείρισης πληροφοριών και οι υπεύθυνοι ασφάλειας, θα πρέπει να λαμβάνουν υπόψη τρεις σημαντικούς παράγοντες. Πρόκειται για την ανθρώπινη αδυναμία, την αμέλεια και την κόπωση. Με αυτούς υπόψιν, θα ελαχιστοποιηθούν τα ανθρώπινα λάθη κατά τη δημιουργία και την εφαρμογή των πολιτικών και των διαδικασιών.
Η ανθρώπινη αδυναμία
Σε ορισμένες από τις πιο αποτελεσματικές κυβερνοεπιθέσεις, οι δράστες εκμεταλλεύτηκαν την ανθρώπινη αμέλεια και το σφάλμα. Μια έρευνα έδειξε ότι 1 στις 5 επιχειρήσεις (19%) που υπέστησαν κακόβουλη παραβίαση δεδομένων, αυτή συνέβη λόγω κλοπής ή παραβίασης διαπιστευτηρίων. Με αυτό τον τρόπο, αυξήθηκε το μέσο συνολικό κόστος μιας παραβίασης για αυτές τις επιχειρήσεις κατά σχεδόν 1 εκατομμύριο αμερικάνικα δολάρια. Οι οργανισμοί θα πρέπει να δράσουν ενεργά για την εξάλειψη του κινδύνου που προέρχεται από την ανθρώπινη αμέλεια και το σφάλμα. Με αυτό τον τρόπο θα αντιμετωπιστούν και οι απειλές που προκύπτουν από τις επιθέσεις της κοινωνικής μηχανικής και του phishing. Αυτό μπορεί να γίνει με τη βοήθεια της εκπαίδευσης για την ευαισθητοποίηση των εργαζομένων. Οι οργανισμοί θα πρέπει να διασφαλίζουν ότι όλοι οι εργαζόμενοι είναι εξοικειωμένοι με την εταιρική πολιτική ασφάλειας. Επίσης θα πρέπει να διασφαλιστεί πως θα έχουν τα απαραίτητα κίνητρα για να ακολουθήσουν εκείνους τους κανόνες.
Η αντιμετώπιση της αμέλειας και της κόπωσης
Μπορεί να ακουστεί κακό… αλλά η αμέλεια μπορεί να αποτελεί συνέπεια της έλλειψης της ενημέρωσης. Εάν η επικοινωνία δεν είναι σαφής ή ανύπαρκτη, τότε το προσωπικό δεν θα γνωρίζει πόσο σημαντική είναι η θέση του οργανισμού σχετικά με τα θέματα της ασφάλειας. Οι κανόνες του οργανισμού και η υπάρξη τους πρέπει να είναι σαφείς και διαφανείς. Σε αντίθετη περίπτωση, θα είναι εύκολο για τους ανθρώπους να τους αγνοήσουν.
Θα πρέπει να αποτελεί μέρος της πολιτικής ενός οργανισμού και να δίνεται στο προσωπικό μια λίστα ελέγχου. Αυτή θα περιλαμβάνει όλες τις κρίσιμες υποχρεωτικές τακτικές διεργασίες. Επίσης είναι απαραίτητο να περιλαμβάνει και ένα είδος αυτοέλεγχου που θα προσδιορίζει εάν οι υπάλληλοι έχουν ολοκληρώσει τα καθήκοντά τους.
Σε αντίθεση με τους υπολογιστές που μπορούν να λειτουργούν χωρίς διακοπές, οι άνθρωποι είναι επιρρεπείς στην κούραση όταν εργάζονται πολλές ώρες. Η κούραση τους κάνει πιο επιρρεπείς στα λάθη. Τα αντίμετρα της κόπωσης θα πρέπει να περιλαμβάνουν ρυθμιζόμενες ώρες εργασίας και υποχρεωτικά διαλείμματα κατά εκείνες τις ώρες.
Έλλειψη ισχυρών πολιτικών και διαδικασιών
Για να μετριαστεί ο κίνδυνος από το ανθρώπινο λάθος, είναι επίσης πολύ σημαντικό να υπάρχουν ισχυρές πολιτικές για την ασφάλεια στον κυβερνοχώρο. Οι πολιτικές ασφαλείας θα πρέπει να περιγράφουν με σαφήνεια τον τρόπο χειρισμού κρίσιμων δεδομένων και κωδικών πρόσβασης. Επίσης είναι απαραίτητο να αναφέρεται το λογισμικό της ασφάλειας και παρακολούθησης που χρησιμοποιείται και το ποιος έχει πρόσβαση σε αυτό.
Οι οργανισμοί χρειάζεται να διασφαλίσουν ότι όλοι οι εργαζόμενοι είναι εξοικειωμένοι με την εταιρική πολιτική ασφάλειας.
Θα χρειαστεί να διασφαλιστούν και τα κίνητρα των εργαζομένων για να ακολουθήσουν τους κανόνες. Οι οργανισμοί θα πρέπει να επιτρέπουν την προνομιακή πρόσβαση μόνο όταν χρειάζεται κατά περίπτωση. Τέλος κρίνεται απαραίτητη η παρακολούθηση και η δραστηριότητα των χρηστών για τον εντοπισμό της όποιας κακόβουλης παρέμβασης. Η έλλειψη πολιτικών ή τα κενά στην εφαρμογή οδηγούν σε ευάλωτα σημεία. Η περιοδική αναθεώρηση των κρίσιμων πολιτικών είναι επίσης απαραίτητη για την αποτελεσματική εφαρμογή.
Οποιοδήποτε ανθρώπινο λάθος στο χώρο εργασίας μπορεί να έχει κλιμακωτό αντίκτυπο στις εγκαταστάσεις, τις λειτουργίες, τις σχέσεις με τους πελάτες και την αξιοπιστία ενός οργανισμού.
Ως αποτέλεσμα, η ύπαρξη ισχυρών πολιτικών και διαδικασιών για τη μείωση του ανθρώπινου λάθους είναι κρίσιμης σημασίας. Οι χρήστες θα χρειαστεί να λαμβάνουν προφυλάξεις. Με αυτό τον τρόπο θα υπερασπιστούν τον εαυτό τους και τα δεδομένα για τα οποία είναι υπεύθυνοι. Οργανισμοί και εργαζόμενοι θα πρέπει να βρίσκονται σε εγρήγορση. Δεν πρέπει να αφήσουν την αφέλεια, την αμέλεια ή τη δυσαρέσκεια για το εργασιακό περιβάλλον να βγουν στο προσκήνιο.
Εσείς πόσο καλά προετοιμασμένοι είστε ως προς στα μέτρα πρόληψης και την ύπαρξη ισχυρών πολιτικών και διαδικασιών για τη μείωση του ανθρώπινου λάθους που θα μπορούσε να σας κοστίσει με παραβίαση του κυβερνοχώρου του οργανισμού σας;