sze. Pierwszym krokiem ku temu jest zidenty kowanie oraz skoncentrowanie się jedynie na najważniejszych zagrożeniach dla ludzi w danej  rmie i kluczowych zachowaniach, które zmniejszają te zagrożenia. Jednak proste wysłanie pracowni- kom newslettera z podanymi najważniejszymi 25 działaniami mającymi na celu zapewnienie cyberbezpieczeństwa w pra- cy zdalnej nikomu nie pomoże, ponieważ ludzie zwykle nie mają czasu czytać tych 25 wskazówek oraz stosować się do nich. Wyjaśnianie ludziom np. takiej sytuacji, że „najnow- sza aktywność w sieci stanowiąca zagrożenie APT9 ujawniła taktykę, techniki i procedury10 hakera próbującego wykraść dane uwierzytelniające pracowników i to jest przyczyną tego, że wirtualne sieci prywatne VPN zaczynają stosować uwierzy- telnianie dwuskładnikowe (2FA)”, nie ma większego sensu, bo większość słuchaczy straci zainteresowanie tym trudnym te- matem. Dlatego też powinniśmy skupić się na jak najmniejszej ilości zachowań ludzi, które mają największy wpływ na bez- pieczeństwo i objaśniać je w prosty, zwięzły sposób, tak aby każdy mógł zrozumieć. Ponadto poprośmy kogoś nieobezna- nego w sprawach technicznych, aby napisał lub przynajmniej zrecenzował nasze materiały szkoleniowe. Dzięki temu upew- nimy się, że każdy odbiorca zrozumie te informacje. Treści pi- sane przez ludzi będących ekspertami od spraw technicznych są zwykle pisane dla innych takich ekspertów, a zwykli ludzie mogą ich nie rozumieć.
2. Należy skoncentrować si  na korzyściach osobistych dla pracowników. Jeśli chcemy przyciągnąć uwagę ludzi, to powinniśmy skoncentrować się na ich korzyściach osobistych, takich jak zabezpieczenie ich  nansów, domów lub dzieci. Ko- munikujmy się z ludźmi oraz angażujmy ich w taki sposób, aby ludzie widzieli w tym korzyści dla siebie. Wówczas ludzie będą o wiele prawdopodobniej słuchać i zmieniać swoje zachowa- nia, ale zachowania te będą takie same i w domu, i w pracy. Najważniejsze oznaki cyberataku typu phishing (przestępca podszywa się pod inną osobę lub instytucję) są takie same, niezależnie od tego, czy jesteśmy w pracy, czy w domu. Silne hasła są podstawą i w pracy, i w domu. Tak samo aktualiza- cje systemów. Skupmy się na osobistych korzyściach dla ludzi, a będą oni nas słuchać i zmieniać swoje zachowania.
3. Należy odpowiednio organizować szkolenia i uzy- skiwać zaangażowanie pracowników. E-maile są skuteczne, gdy ludzie nie są zbyt przytłoczeni. Firmy muszą znaleźć ła- twy sposób na skuteczną komunikację z pracownikami. Dla- tego musimy być trochę bardziej kreatywni, ponieważ każde
przedsiębiorstwo jest inne, zarówno pod względem kultury, jak i sposobu działania. Dwie kluczowe cechy skutecznego angażowania pracowników w sprawy bezpieczeństwa w sieci to: krótko oraz interaktywnie. Zamierzamy zorganizować we- binar? Pomińmy pokaz slajdów i zastąpmy go dynamicznym wywiadem z jakimś specjalistą ds. cyberbezpieczeństwa z dzia- łu informatyki. Zorganizujmy szkolenie na żywo w sieci, które będzie zawierać wymianę informacji w czasie rzeczywistym z uczestnikami przez 30 minut. A jeśli ludzie będą znużeni słu- chaniem? Zaprośmy jakiegoś gościa – specjalistę z zewnątrz. Gościem może być ktoś reprezentujący organy ścigania albo urząd podatkowy. Pomińmy blog i zamiast niego stwórzmy interaktywne forum online, wykorzystując takie technologie jak komunikator internetowy Slack czy platformę współpracy zespołowej MS Teams. Jeśli kultura organizacyjna jest dobrze dopasowana, urozmaićmy doświadczenie edukacyjne za po- mocą prostych eventów, takich jak gra Scavenger Hunt w sie- ci. Chcemy być trochę nowatorscy? Rozważmy wykorzystanie memów, infogra ki lub krótkich  lmów wideo (micro-videos). Twórzmy treści, w które sami chcielibyśmy się zaangażować.
Lance Spitzner posiada 20-letnie doświadczenie jako specjalista od cyberbezpieczeństwa w takich dziedzinach jak badanie cyberzagrożeń, architektura bezpieczeństwa oraz szkolenia ze świadomości zagrożeń w sieci. Jest on starszym instruktorem w Instytucie SANS (www.sans.org).  n
1 ang. security awareness
2 Full-Disk Encryption; pełne szyfrowanie dysku
3 Two-Factor Authentication; uwierzytelnianie dwuskładnikowe
4 Virtual Private Network; wirtualna sieć prywatna
5 Single Sign-On; pojedyncze logowanie
6 Mobile Device Management; zarządzanie urządzeniami mobilnymi
7 Identity and Access Management; zarządzanie tożsamością i dostępem
8 Endpoint Detection and Response; wykrywanie i reagowanie na punktach końcowych
9 Advanced Persistent  reat; zaawansowane, trwałe zagrożenie
10 tactics, techniques, and procedures; TTP
INŻYNIERIA & UTRZYMANIE RUCHU – www.utrzymanieruchu.pl
I kwartał 2023 25