A magatartás fejlesztése az iskolában kritikus fontosságú: a diákok fegyelmezettsége nélkülözhetetlen az órák hatékonyságának fenntartása (business continuity), és a tanítás (knowledge transfer) érdekében, valamint azért, hogy a közösség biztonságáról gondoskodjanak (security).
A vállalati kultúrában az alkalmazottak értékelése kulcsfontosságú, de kevésbé konkrétan a magatartásra koncentrál. Bizonyára mindannyian ismerjük a különböző Performance Review-kat, önértékeléseket és a 360 fokos vizsgálati módszereket, amelyekkel időszakonként a HR-osztály jelentkezni szokott. Úgy tűnik, egyre inkább szükségessé kezd válni annak az iskolás értékelési szempontrendszernek a vállalatoknál való érvényesítése, amely alapján az alkalmazottak viselkedése kontrollálható.
Rend a lelke mindennek. A fegyelmezett, feladatok elvégzésére koncentráló szervezetek hatékonysága elvitathatatlan. A fenti megfontolás elsődleges mozgatórugója azonban nem ez, hanem a vállalat digitális adatvagyonának, a vállalat nevének, reputációjának a védelme.
Az elmúlt években jelentősen megnőtt a kockázata annak, hogy bárki a kiberbűnözők áldozatává váljon. A nemzetközi felmérések* szerint a világon több mint 1,5 millió áldozatot szed mindennap ez az "iparágazat". Merthogy iparszerűen űzik a digitális technológiák adta visszaélést a rosszindulatú egyének, szervezett csoportok és nemzetállamok. Pénzt, energiát, időt nem kímélve zseniális trükköket és technológiai újításokat alkalmazva képesek a legvédettebb rendszereket is meghódítani a modern kor Robin Hoodjai. Az elmúlt pár évben olyan szigorúan védett intézmények (katonai szervezetek, nukleáris erőművek, pénzintézetek) estek áldozatul kibertámadásnak, amelyek korábban megközelíthetetlennek és sérthetetlenek tűntek.
A célzott támadások világában ezek az incidensek nem marginális jellegűek és nem kezelhetőek a "majd visszaállunk a tegnapi mentésből" gyakorlattal sem. A potenciális következmények beláthatatlanok. Erre az egyik legjobb példa talán az a holland tanúsítvány kibocsátó vállalat (Diginotar), amiről ma már csak múlt időben lehet beszélni, mivel egy összetett kibertámadást követően a vállalat teljes csődöt jelentett az események körülbelül 72 órás leforgása alatt.
Sokan gondolják, hogy a high-profile digitális támadásokkal szemben high-profile IT-biztonsági védelmi technológiákkal kell védekezni. Elvitathatatlan a kockázat arányos csökkenése, ha megfelelően kiválasztott, konfigurált, monitorozott és karbantartott IT-biztonsági rendszereket alkalmazunk.
De ettől még nem alhatunk biztonságban, hiszen ahogy mondani szokták, "a legnagyobb IT-biztonsági kockázat a billentyűzet és a szék között található". A felhasználóink aktívan, tevőlegesen vagy akár akaratukon kívül is hozzájárulhatnak a kiberbűnözők sikeres támadásaihoz. A spear-phishing mint támadási (social engineering) módszertan ma már az egyik legközkedveltebb támadási forma, ami éppen az alkalmazottak jóhiszeműségére, figyelmetlenségére koncentrál. Ki ne örülne annak, ha nemzetközi érdeklődés középpontjába kerülne egy Facebook-posztja miatt, vagy exkluzív állásajánlatot kapna egy multinacionális vállalattól egy jó nevű állásközvetítőn keresztül?
Ezeknél a támadásoknál a támadók szinte titkosszolgálati módszerekkel készítik elő az akciót. Digitális környezettanulmányt végeznek annak felderítésére, kik lehetnek a célpontnak választott vállalatnál az ideális közreműködő alkalmazottak. Őket hosszasan megfigyelik, beszervezik, vagy megtévesztik azért, hogy a végső céljukat beteljesítsék, kijátszva akár az összes "Next Generation" security megoldást.
Addig, amíg a rossz magaviseletű beosztottak, vezetők viszonylag könnyen azonosíthatók (pl. felmondási idejüket töltik), addig a legnagyobb kihívás azoknak az "alvó sejteknek" az azonosítása, akiknek a magatartása példás (régi motoros a cégben, jól teljesít, pontos a munkavégzésben), szabadidejükben azonban a munkaidőben megszerzett információkkal garázdálkodnak.
Amekkora kockázatot jelent egy kiszámíthatatlan viselkedésű, IT-biztonsági szempontból fel nem készített alkalmazott, annyira komoly proaktív és preventív védelmi vonalat jelent egy olyan szervezet, amelyben minden tag magatartási értékelése példás. Feltéve, ha időben felismerik a gyanús eseményeket (legyen szó akár deviáns tartalmú e-mailről vagy telefonról), rögzítik azt és azonnal jelentik az Incident Response Plan szerinti módon. Ha egy szervezetben sikerül a digitális adatvagyon védelmét a vállalati kultúra részévé tenni, sokkal hatékonyabban fogjuk tudni a digitális kockázatokat semlegesíteni és a támadásokat megelőzni.
