Prieskumy a zlepšovanie bezpečnosti

Ten istý prieskum však zároveň ukázal, že celkové znalosti žien o hrozbách z Internetu sú slabšie ako u mužov … napríklad len 18% z nich (v porovnaní s 37% mužov) vedelo, čo to vlastne „phishing“ je... Takže tak jednoduché to zrejme nebude. Zároveň to však naznačuje, ako nedostatočné povedomie používateľov počítačov o možných hrozbách môže viesť k mylným záverom ohľadom úrovne bezpečnosti v organizácii. Skrátka, keď niekto netuší čo všetko sa môže stať (alebo sa už stalo, ale vďaka svojej nevedomosti to ani nepostrehol), jeho/jej pohľad na problém informačnej bezpečnosti bude asi oveľa optimistickejší, ako by si realita zaslúžila...

Ale nielen to – ak používatelia nerozumejú, o čo v informačnej bezpečnosti ide, je málo pravdepodobné že budú vedieť včas ohlásiť bezpečnostný incident, či pochopiť čo sa vlastne od nich chce pri zavádzaní bezpečnostných opatrení. A priznajme si, že terminológia, ktorú medzi sebou bežne používajú špecialisti na počítače a/alebo informačnú bezpečnosť, je značne vzdialená od jazyka, ktorý bežne používajú obyčajní používatelia... Čo sa potom stane, ak pokyny, smernice či návody pre používateľov budú postavené na používaní takých termínov? Istú predstavu o tom, do akej miery bežní používatelia rozumejú základným termínom informačnej bezpečnosti dávajú (smutné, ale nie zas príliš prekvapujúce) výsledky iného prieskumu medzi používateľmi. Prieskum sa síce realizoval vo Veľkej Británii, nemyslím si však, že by situácia u nás bola v tomto smere lepšia... podľa mojich skúseností veľká časť bežných používateľov si netrúfne ozvať sa, že niečomu v bezpečnostnej smernici, ktorou sa majú riadiť, nerozumejú... Alebo sa ozvú, ale vysvetlenie, ktoré od informatikov dostanú, je obvykle pre nich len o málo zrozumiteľnejšie.

A tak sa spravidla postupuje tak, ako v prípade iných smerníc, ktorým používatelia nerozumejú, resp. o ktorých netušia ako sa ich týkajú – podpíšu „obežník“ že sa oboznámili so smernicou, založia ju k ostatným, ktoré považujú za zbytočné, a na smernicu a jej obsah okamžite zabudnú. Napohľad je všetko v poriadku – človek/útvar, ktorý v organizácii zodpovedá za bezpečnosť, má podpísaný „obežník“, a ak neznalosť používateľa prispeje k vzniku či väčším dôsledkom bezpečnostného incidentu, vinník sa vďaka svojmu podpisu zo zodpovednosti nevyvlečie. Zlepšila sa tým bezpečnosť organizácie? Len do takej miery, koľko používateľov porozumelo, čo sa od nich očakáva, a vzalo to aspoň trochu vážne … čo až príliš často znamená, že bezpečnosť sa zlepšila len nepatrne. Oveľa významnejšie sa však „zlepší“ schopnosť priradiť vinu, resp. zodpovednosť za bezpečnostný incident, alebo spôsobené škody. Ak je hlavným cieľom organizácie, resp. človeka/útvaru zodpovedného za jej informačnú bezpečnosť, čo najjednoduchšie presunutie čo najväčšieho podielu zodpovednosti na niekoho iného, tak hej, toto je dobrý spôsob ako na to ísť. Je naozaj zaujímavé, koľko ľudí si pod riešením bezpečnosti predstavuje práve toto – spísanie smerníc a iných dokumentov a rozdelenie zodpovednosti … pritom v skutočnosti to je len začiatok, to najťažšie – zavedenie opatrení do praxe – nikdy nejde „samé od seba“. Do toho sa však málokomu chce, veď prikázať niečo je oveľa jednoduchšie, ako vyvinúť nie malé úsilie, aby to naozaj „fungovalo“ …