Trăim într-o lume din ce în ce mai interdependentă, iar acest lucru este, în mare parte, datorat evoluției tehnologiei informației și a comunicațiilor. Există numeroase beneficii ale acestei interdependențe, însă și multe dezavantaje, luând în considerare faptul că instituțiile publice și întreprinderile au devenit aproape în întregime dependente de sisteme IT pentru a funcționa. Prin urmare, autoritățile trebuie să fie pregătite pentru un nou set de provocări, în special legate de spațiul cibernetic. Viața zilnică a fiecărui cetățean, economiile naționale, precum și securitatea națională a fiecărui stat depind de un spațiu cibernetic sigur și stabil.
Complexitatea atacurilor cibernetice și activitățile de spionaj cibernetic au demonstrat că sunt vizate nu numai infrastructurile critice naționale, ci și instituțiile. A devenit clar faptul că protejarea infrastructurilor critice este o problemă-cheie pe care liderii ar trebui să o ia în considerare permanent, fie că vorbim despre un CEO al unei organizații sau de un comandant militar.
Fenomenul agresiunilor a cunoscut o diversificare permanentă, direct proporțională cu dezvoltarea tehnologică, atacurile cibernetice evoluând permanent. Începând cu virușii creați pentru amuzament, s-a ajuns la realizarea unor produse complexe, folosite pentru spionaj industrial. În condițiile în care utilizarea tehnologiei informației și a comunicațiilor este în expansiune în întreaga lume, variind de la un simplu telefon inteligent la sisteme complexe, care gestionează infrastructurile critice, trebuie pus accentul pe conștientizarea publicului țintă cu privire la aspectele de securitate din mediul online.
Programe de awareness
Cercetarea în domeniul securității informațiilor pune accent pe „factorul uman“, în contextul în care oamenii sunt considerați cea mai slabă verigă. Managementul securității informațiilor utilizează politici de securitate ca mijloc de a defini ceea ce se așteaptă de la indivizi într-o organizație. Cu toate acestea, adesea, utilizatorii sistemelor informatice nu reușesc să respecte aceste politici. Pentru a aborda această problemă, dar și pentru a răspunde cerințelor de reglementare, programele de awareness în domeniul securității informației se transformă în componente cheie ale managementului securității, iar un rol important în promovarea culturii de securitate și dezvoltarea de campanii de awareness îl joacă serviciile de informații.
Atunci când vorbim despre programe de awareness avem în vedere activități care au ca scop „conștientizarea“ utilizatorilor cu privire la riscurile de securitate. La scară largă, acestea s-au tradus prin standarde și orientări de awareness în domeniul securității, care să ofere unele linii directoare pentru dezvoltarea de materiale prin care angajații sunt informați cu privire la importanța asigurării securității informațiilor.
Acest cadru de reglementare se concentrează, în principal, asupra proceselor și conținutului programului de awareness, care răspunde la întrebarea „Ce comportament vrem să consolidăm?“. Programele de awareness sunt compilate pornind de la presupunerea că utilizatorii nu reușesc să adopte practici sigure, fie pentru că nu sunt conștienți de riscuri, nu înțeleg implicațiile încălcării procedurilor de securitate, fie pentru că nu înțeleg modul în care acestea trebuie să acționeze.
Sistemele de management al securității implică, de obicei, o structură piramidală de comunicare de securitate, inclusiv nivelurile de sensibilizare, formare și educație. La nivelul de bază, există programe de awareness, care vizează stimularea comportamentelor de securitate, motivarea părților interesate pentru a recunoaște preocupările de securitate și a răspunde acestora. La nivelul de mijloc, programele de formare vizează producerea unor abilități și competențe de securitate, cum ar fi ocuparea forței de muncă și operarea controalelor de securitate fizică. La nivelul superior al piramidei, educația vizează dezvoltarea expertizei în domeniul securității informației și se adresează persoanelor care sunt implicate profesional în securitatea informațiilor.
Conștientizarea și formarea în domeniul securității nu sunt determinate numai de cerințele interne ale organizației, ci și de factori externi. Pornind de la această premisă, transformarea comportamentului de securitate nu presupune simpla dobândire de cunoaștere a politicilor de securitate și de conștientizare a importanței securității, ci și influențarea comportamentului de securitate al utilizatorilor, a modului în care percep riscurile și iau decizii legate de securitate, ținând cont de faptul că indivizii primesc și procesează informațiile de conștientizare a securității prin filtrul prejudecăților cognitive și culturale. De aceea, programele de awareness trebuie să fie proiectate în conformitate cu nevoile de business ale organizației și să fie relevante pentru cultura și arhitectura IT a acesteia.
Deoarece convingerile și prejudecățile individuale afectează intenția utilizatorilor de a se conforma politicilor de securitate, trebuie mai întâi să identificăm și apoi să gestionăm în mod corespunzător aceste prejudecăți pentru a promova respectarea regulilor. Mai precis, trebuie ținut cont de faptul că hotărârile individuale sunt afectate de expune- rea la stimuli pozitivi sau negativi (de exemplu, zâmbet sau încruntare a feței) datorită influenței afectului euristic. De aceea, este de preferat să asociem mesajele de securitate cu imagini pozitive, comparativ cu imagini neutre sau negative, pentru a influența respectarea acestora de către utilizatori.
Este de așteptat ca utilizatorii să subestimeze propria lor vulnerabilitate în fața amenințărilor la adresa securității, chiar dacă știu probabilitățile statistice reale și impactul amenințării.
Din cauza prejudecății optimiste, sunt susceptibili să subestimeze șansele ca amenințarea să se materializeze și vor supraevalua propriul lor control asupra amenințării. Prin urmare, informarea pur și simplu a acestora cu privire la probabilitatea și impactul potențial al unei amenințări nu este suficientă; ei trebuie să se asocieze cu riscurile. Sesiunile tip atelier, de exemplu, supun utilizatorii la riscuri pentru a promova recomandări de securitate. În plus, simulările pot fi utilizate de către experții de securitate pentru a ilustra utilizatorilor ce li se întâmplă în cazul unei amenințări de securitate.
Bune practici la nivel internaţional
Un exemplu în planul măsurilor de tip awareness îl reprezintă ser- viciile germane de informații, mai ales Oficiul Federal pentru Apărarea Constituției (BfV), care se remarcă prin eforturile întreprinse în direcția creșterii transparenței, credibilității și promovării politicilor de securitate în mediul academic și economic.
Pornind de la ideea că organizațiile trebuie să se asigure că părțile interesate din domeniul securității informației înțeleg politicile și procedurile de securitate și respectă regulile specificate de comportament pentru sistemele și aplicațiile la care au acces, publicul țintă al programelor de awareness a inclus managementul, personal tehnic, angajați, precum și terțe părți angajate de organizație (de exemplu, contractori, furnizori). Modalitățile de acțiune au fost variate. Au existat campanii de informare pe tema acțiunilor derulate împotriva mediului economic, științific și al cercetării de entități concurente, lansate atât sub forma unor simpozioane, conferințe, expoziții itinerante, cât și prin publicarea unor materiale de profil și participarea la proiecte de cercetare. Principalul pilon al comunicării publice al BfV îl reprezintă publicarea pe site a unor buletine trimestriale privind riscurile în domeniul extremismului și terorismului, precum și pe tema protecției economiei, pe care firmele le pun la dispoziția angajaților prin propriul intranet.
Biroul Federal de Investigații (FBI) din SUA utilizează Programul de parteneriat strategic în domeniul contraspionajului (Counter- intelligence Strategic Partnership Program – CISPP) în scopul diminuării riscurilor reprezentate de entități străine care vizează obținerea ilegală de tehnologii sensibile, descoperiri științifice, informații clasificate ale Administrației SUA ori secrete comerciale din sectorul privat sau din mediul academic. Rețeaua CISPP este formată din peste 80 de cadre FBI care mențin contactul cu peste 15.000 de companii locale, instituții de învățământ superior și contractori din domeniul apărării. Ședințele de informare pe tema amenințărilor reprezentate de spionajul economic, furtul de secrete comerciale și intruziunile cibernetice ajută companiile să identifice, să contracareze și să se apere de atacurile lansate de inamici externi asupra informațiilor sensibile.
În România, demersurile de conștientizare a publicului cu privire la riscurile de securitate cibernetică încep să prindă contur, remarcându- se unele inițiative ale autorităților de organizare a unor conferințe și simpozioane pe teme circumscrise domeniului. Un exemplu pozitiv este campania derulată de CERT-RO, sub egida European Cybersecurity Month (ECSM), în luna octombrie a anului 2013, pe site-ul instituției fiind publicate mai multe ghiduri utile.
Concluzii
Gestionarea eficientă a securităţii informaţiilor este în mare măsură asociată cu programele de conştientizare a securităţii al căror rol este de a determina utilizatorii să se conformeze politicilor de securitate a informaţiilor. Studiile în diverse domenii, cum ar fi economia comportamentală sau domeniul sănătăţii şi siguranţei, demonstrează că oamenii interpretează şi asimilează informaţiile legate de risc prin prisma prejudecăţilor cognitive şi culturale. Din acest punct de vedere este nevoie de o analiză sistematică a rolului prejudecăţilor în influenţarea percepţiilor de risc individual şi a comportamentului de securitate în cazul informaţiilor.
Abstract
Best practices and standards for the information security awareness programs focus on content, programs and processes without taking into consideration the way individuals internalize security-related information and how they make decisions in the security field. To that end, one should have in mind that such programs should be aligned with the internalization factors that have an impact on security objectives.
Autori: Daniela Ştefănescu şi Oana Martin
