Boldon James. Ασφάλεια με γνώμονα τον χρήστη: μετατρέποντας τους ανθρώπους σε περιουσιακά στοιχεία ασφάλειας
Η τεχνητή νοημοσύνη, η ανάλυση της συμπεριφοράς των χρηστών, και το μοντέλο «zero-trust», αποτελούν σήμερα τις λέξεις και έννοιες που κυριαρχούν σήμερα στο «λεξιλόγιο» όσων ανήκουν στην βιομηχανία της ασφάλειας πληροφορικής.
Οι εξελίξεις στην τεχνολογία κυβερνοασφάλεια που έχουν γίνει τα τελευταία χρόνια είναι εκπληκτικές, εξελίξεις που είναι απολύτως απαραίτητες καθώς προοδεύουμε προς έναν ασφαλέστερο κόσμο. Μια βασική παραδοχή σε πολλές από αυτές τις εξελίξεις είναι ότι οι άνθρωποι είναι απλώς ένας κίνδυνος που πρέπει να μετριαστεί από την τεχνολογία.
Σε κάποιο βαθμό, αυτή είναι η απολύτως σωστή προσέγγιση. Ωστόσο, παρά τα όσα έχουμε πετύχει από τεχνολογικής άποψης, κακόβουλοι παράγοντες θα υπάρχουν πάντα και οι άνθρωποι θα συνεχίσουν να κάνουν αθώα ή αφελή λάθη. Η τεχνολογία δεν είναι δυνατόν να δώσει τη λύση σε κάθε πρόβλημα. Πως μπορούμε να μετριάσουμε αποτελεσματικά όμως αυτόν τον κίνδυνο; Ενδεχομένως θα πρέπει να υιοθετήσουμε μια πιο θετική προσέγγιση. μια προσέγγιση της οποίας στόχος είναι να μετατραπεί ο άνθρωπος από επικίνδυνος για την ασφάλεια σε ένα περιουσιακό στοιχείο ασφαλείας. Με λίγα λόγια: ασφάλεια με γνώμονα τον χρήστη (user driven security).
Τι εννοούμε με το «ασφάλεια με γνώμονα τον χρήστη»;
Η ασφάλεια με γνώμονα τον χρήστη είναι μια μεθοδολογία που κατανοεί τον τρόπο με τον οποίο οι άνθρωποι αλληλεπιδρούν με τα δεδομένα, γιατί οι άνθρωποι κάνουν λάθη, αλλά και τους τρόπους για να εντοπιστούν και να αποτραπούν αθώα λάθη/ κακόβουλη δραστηριότητα. Χρησιμοποιώντας αυτές τις πληροφορίες, οι επιχειρήσεις είναι σε θέση να εφαρμόσουν μια απλή στρατηγική που περιλαμβάνει την εκπαίδευση των χρηστών για να κατανοήσουν πως να λειτουργούν με ασφαλέστερο τρόπο, ενσωματώνοντας την πολιτική ασφάλειας στην καθημερινή ροή εργασίας τους και χρησιμοποιώντας τις πληροφορίες που παρέχονται από χρήστες για την ενίσχυση της τεχνολογίας κυβερνοασφάλειας που χρησιμοποιείται ήδη από την επιχείρηση. Αυτή η διαδικασία μπορεί να κάνει τις επιχειρήσεις πιο ασφαλείς και πιο αποδοτικές.
Γιατί οι άνθρωποι θεωρούνται επικίνδυνοι;
Όταν δείτε την πληθώρα της έρευνας που είναι διαθέσιμη για τους λόγους που βρίσκονται πίσω από κάποια απώλεια δεδομένων και τις αιτίες, είναι ξεκάθαρο για ποιο λόγο οι άνθρωποι θεωρούνται κίνδυνος για την ασφάλεια. Για παράδειγμα, στατιστικά από το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO) στην Μ. Βρετανία για τις κύριες αιτίες περιστατικών που αφορούν την ασφάλεια δεδομένων καθώς και στις περιπτώσεις που ανέλαβε δράση, το ανθρώπινο σφάλμα και το διαδικαστικό σφάλμα τείνουν να είναι οι βασικές αιτίες. Πιο συγκεκριμένα, οι λόγοι τείνουν να είναι οι: απώλεια/ κλοπή φυσικών εγγράφων, δεδομένα που απεστάλησαν σε λάθος παραλήπτη ή η απώλεια/ κλοπή κάποιας μη κρυπτογραφημένης συσκευής. Είναι εύκολο να δούμε πως και γιατί τέτοια περιστατικά μπορούν να συμβούν τόσο εύκολα. Ας ρίξουμε μία ματιά σε τρεις από τις κύριες αιτίες:
- Οι άνθρωποι είναι απασχολημένοι και τεράστια ποσά δεδομένων δημιουργούνται κάθε δευτερόλεπτο
- Τα δεδομένα έχουν αρχίσει να γίνονται το πολυτιμότερο περιουσιακό στοιχείο μία επιχειρήσεις, γεγονός που ενθαρρύνει κακόβουλους παράγοντες να επιχειρούν να τα κλέψουν
- Οι επιχειρήσεις (και επομένως οι εργαζόμενοι) δεν έχουν την τάση να κατανοούν την αξία κάθε στοιχείου/ δεδομένου που δημιουργούν.
Με την αποτελεσματική χρήση της τεχνολογίας καταφέρνουμε να ξεπεράσουμε ορισμένες από αυτές τις προκλήσεις. Παρόλα αυτά, χρησιμοποιώντας μόνο την τεχνολογία, μένουν κενά και σε ορισμένες περιπτώσεις επηρεάζει αρνητικά την παραγωγικότητα.
Στο επόμενο, από τα τρία συνολικά μέρη του άρθρου, θα δούμε τα τρία βασικά βήματα που πρέπει να κάνετε για να προχωρήσετε στην υιοθέτηση μίας προσέγγισης με γνώμονα τον χρήστη.