Security awareness to w tłumaczeniu świadomość bezpieczeństwa lub też świadomość zagrożeń, jakie niesie za sobą korzystanie z Internetu. Security awareness możemy więc potraktować jako zespół umiejętności, nawyków i procedur, a także wiedzę użytkowników, które pozwalają na unikanie cyberniebezpieczeństw. Wiele firm o ugruntowanych zasadach dotyczących cyberbezpieczeństwa traktuje szkolenia z zakresu security awareness jako obowiązkowe dla pracowników rozpoczynających pracę oraz utrwala tę wiedzę podczas regularnych szkoleń przypominających.

Specjaliści ds. cyberbezpieczeństwa nie mają wątpliwości, że security awareness to pierwsza linia obrony przed wyciekami danych i atakami z zewnątrz. Szczególnie istotne jest wdrożenie odpowiednich zasad i edukacja wśród pracowników działów nietechnicznych. Dotyczy to między innymi działów sprzedaży, księgowości czy kadr, które w przeciwieństwie to działu IT nie są często świadome zagrożeń w sieci. Pracownicy, którzy nie zostali przeszkoleni w ramach security awareness, są zdecydowanie bardziej podatni na wszelkiego rodzaju ataki socjotechniczne, bazujące na ich nieuwadze i błędach, które łatwo popełnić pod wpływem nieuwagi czy emocji.

Przeszkolonym pracownikom w zakresie security awareness będzie łatwiej rozpoznać zagrożenie w sytuacji zetknięcia ze spoofingiem lub phishingiem. Świadomi użytkownicy sieci będą też popełniać mniej błędów, co może uchronić firmę przed zainstalowaniem sniffera lub oprogramowania do tworzenia botnetu – urządzenia wchłonięte w sieć komputerów-zombie mogą posłużyć do przeprowadzenia ataku DDoS/DoS.

„System” ochrony, oparty na wiedzy i świadomości bezpieczeństwa pracowników często nazywa się środowiskowo human firewall, co od razu sugeruje, jak istotne jest poważne podejście do tego tematu.

W tym miejscu przedstawimy kilka wskazówek dotyczących zwiększania świadomości zagrożeń IT w firmie. Warto mieć na uwadze, że security awareness dotyczy przede wszystkim kreowania dobrych nawyków i przekazywania wiedzy osobom, które nie mają na co dzień styczności z cyberbezpieczeństwem. Uświadomienie sobie tego faktu pozwoli poznać motywację i punkt widzenia zespołu oraz lepiej dobrać metodę wprowadzania zmian.

1. Stwórz politykę bezpieczeństwa i procedury zrozumiałe dla wszystkich pracowników firmy. Specjaliści w dziale IT zwykle doskonale wiedzą, jak powinni zachować się w danej sytuacji. Rzeczy dla nich oczywiste mogą być całkowicie niezrozumiałe dla innych pracowników. Ważne jest więc, by procedury były jasne i łatwo dostępne dla wszystkich.
2. Przeprowadzaj szkolenia dla nowych pracowników oraz edukuj obecnych. Tylko w ten sposób można zwiększyć bezpieczeństwo IT. Security awareness to przede wszystkim nauka! Zaplanuj kalendarz cyklicznych szkoleń, powierzając to zadanie własnemu zespołowi IT lub firmie zewnętrznej. Zadbaj również o ciekawą formę szkoleń w zakresie świadomości cyberzagrożeń, opierając je np. o grywalizację czy symulacje video.
3. W komunikacji z ogółem pracowników w zakresie bezpieczeństwa posługuj się przykładami. Przestrzegając przed jakimś zachowaniem, lepiej jest użyć ciekawego case study niż przedstawiać pracownikom dane statystyczne o atakach na świecie czy tłumaczyć im działanie poszczególnych systemów bezpieczeństwa od strony technologicznej (chyba, że rozmawiasz z administratorami).
4. Wdrażanie zasad security awareness potraktuj jak benefit pozapłacowy. W końcu zdobyta w ten sposób wiedza pozwoli uniknąć wielu osobistych kłopotów w prywatnym życiu – włamań na konta w serwisach społecznościowych czy wyprowadzenia środków z rachunku bankowego.
5. Przeprowadzaj kontrolowane ataki phishingowe. Kontrolowany atak obnaża wszystkie słabości systemów bezpieczeństwa oraz pokazuje, czy pracownicy stosują się do stworzonych procedur i nie stwarzają zagrożenia dla firmy.