Skip to main content

Kontzientziazioa eta sen ona

Sarrera

Erakundeei egindako erasoen zenbakia egunero handitzen da. Enpresen datuen lapurreta edo filtrazioen, zerbitzuen ukapenaren, finantza-iruzurraren, eta abarren inguruko berriak irakurtzea oso ohikoa da. Mehatxu berriak sortuz doaz, eta erakundeek ezin dute haien defentsa teknologikoetan bakarrik sinetsi salbu mantentzeko. Zibererasotzaileek egunero aldatzen dituzte haien erasorako estrategiak, eta, gaur egun, eraso horietako asko erabiltzaileei zuzenduta daude, defentsa horiek saihesteko gizarte-ingeniaritzako teknikak erabiliz. Erabiltzaileak dira erakunde bateko mailarik ahulena, esaterako, segurtasuna kolokan jar dezakeen software gaizto bat sar dezaketelako konpainian ezjakintasun hutsagatik, erakundeko ekipoetan sartzeko seguruak ez diren pasahitzak erabil ditzaketelako, segurtasun-kopiarik egin ez dutelako, etab. Azken finean, segurtasun-jarraibide egoki batzuk bete ez dituztelako. Horregatik, ezinbestekoa da enpresa bateko langile guztiak trebatzea segurtasunean duten eginkizun garrantzitsuaz jakitun izan daitezen, eta ezjakintasunagatik, erosotasunagatik edo utzikeriagatik haien erakundeko aktiboen babesarentzat segurtasun-arazo bat sor dezaketen ekintzak identifikatzen laguntzeko, bereziki, egunerokoan kudeatzen den informazioaren kasuan, bai dokumentuen, bai euskarri elektronikoen bitartez. 

Enpresei eragiten dieten zibererasoen kasu gehienetan langileen nolabaiteko esku-hartzea egoten da, zeinak ohartu gabe kaltetu edo erakundean sartzea errazten duten. Hori dela eta, langileak arriskuen eta mehatxuen inguruan kontzientziatu behar dira, eta erakundearen datuak arriskuan jar ditzaketen egoerak saihesteko trebatu,  baita sarean nabigatzea sen onaren araberakoa izan behar dela ohartarazi ere.

Jakin behar dugu Interneten egiten eta publikatzen duguna (gure argazkiak, gure datuak, sare sozialetan publikatzen dugun guztia, etab.) ez dela desagertzen. Eta zibergaizkileak zelatan egoten direla datu horiek guztiak eskuratzeko. Horregatik, sarean egiten denarekin arduraz jokatzea gomendatzen da. Logika eta sen ona erabiltzea da gure defentsarik onena. 

Helburuak

  • Zibersegurtasunaren arloan dauden arriskuak ezagutu, eta erakundearen informazioa babesteko ardura pertsonala bere gain hartzeko erabiltzaileak kontzientziatu eta formatzea.
  • Aktiboen babeserako segurtasun-arazo bat sor dezaketen ekintza horiek identifikatzeko erabiltzaileak trebatzea. 
  • Bere datuak babesteko erakundeak ezarri dituen politikak eta prozedurak betetzea.
  • Erakundearen informazioaren segurtasun, konfidentzialtasun eta sarbide egokia bermatzea.
  • Erakundearen eraso-azalera murriztea.

Onurak

  • Zibererasoak saihestea eta arriskuak aurreikustea. Zibererasoak gertatzen dira segurtasun-neurriak nahikoak ez direlako edo erabiltzaileek ez dakitelako mehatxuak identifikatzen. Behar ez duten esteka bat ireki, deskargatu edo programa bat egikaritzearen tranpan erori ohi dira. Beraz, erabiltzaileei babeserako neurri teknikoak ezartzen erakustea eta nabigazio-praktika seguruetan formatzea giltzarria dira erakundearen funtzionamendu egokirako.
  • Erakundearen ospea hobetzea edo indartzea. Bezeroei, hornitzaileei edo inbertsiogileei erakustea konpainiak erasoak saihestu eta mehatxuak murrizteko duen konpromisoa. Horrek konpainiarekiko duten konfiantza handituko du.
  • Ekonomian aurreztea. Kontzientziazio-planak gastu ekonomiko bat dakar, baina inbertsio gisa ulertu behar da hori, merkeagoa baita langileak prebentzioan formatzea zibereraso baten ondorioak konpontzea baino.

Faseak

Faseak

1. Planifikatu 

Zibersegurtasunaren sentsibilizaziorako beharrak identifikatu, arriskuen ebaluazio baten bitartez. 

  • Ahultasunak nabarmendu: sistemetan edo prozeduretan egon daitezkeen ahulezia posibleak identifikatu, pertsonengan arreta berezia jarriz.
  • Zuzendaritza-batzordearen onarpena eta babesa: zuzendaritzaren babes irmoa beharrezkoa da plana sustatu eta ezartzeko. 
  • Plana prestatzeko inbertsioak: trebatzeko gutxieneko baldintzak bete behar dira, gutxienez, eta programa eraginkor bat bermatu. 
  • Programa garatzeko hezkuntza-metodologia zehatzak aplikatzea: antolakuntzarako teknikek ondorengo kontzientziazio-tresna bat edo gehiago izan ditzakete:
    • Buletinak
    • Pantaila-babesleak 
    • Triptikoak
    • Aurrez aurreko edo online ikastaroak 
    • Edukien gamifikazioa
    • Etab.

2. Ezarri

Trebakuntzaren irismenek eta helburuek argi ezarrita egon behar dute. Era berean, zuzendaritzak emandako babesa beti egon beharko da presente. 

Ezinbestekoa da erakundeko langile guztiak kontzientziazio planean sartzea, eta erakundea babesteko planak duen garrantzia nabarmentzea. Argi adieraztea trebakuntzaren zein atal diren beharrezkoak, langileak erakundearen politika eta prozedura zehatzak zeintzuk diren jakiteko.

3. Jardun eta mantendu

Ariketa praktiko simulatuek eta ezagutzaren ebaluazioek lagundu egiten dute trebakuntza garrantzitsuagoa eta bizitza errealeko gertakari zibernetikoekin lotzeko errazagoa izan dadin.

4. Monitorizatu eta ebaluatu

Kontzientziazio-programa ezarri ostean, testatze edo gamifikazio jokoen bitartez ebaluatu behar da, langileek beharrezko ezagutzak eta esperotako segurtasun-kontzientzia eskuratu dutela bermatzeko. Horrela, ebaluazio- eta atzeraelikadura-teknikek ematen duten informazioa ematen dute, kontzientziazio- eta trebakuntza-programa eguneratu ahal izateko.

Kontzientziazioaren ondorengo urratsa: Prestakuntza

Kontzientziazio-plan eraginkor bat garatu arren, beti egongo da erabiltzaileen ehuneko jakin bat kontzientziazio-planetik espero diren emaitzak izango ez dituena, zenbait arrazoi direla eta (ez dituzte aurreikusitako ekintzak egiten, ez dituzte emandako jarraibideak barneratzen, etab.) Ehuneko hori gutxienekora murrizteko, kontzientziazioa osatzeko jarduera mota bat egin daiteke, esaterako, zibersegurtasunaren prestakuntza. 

Erakundeko langileak zibersegurtasunaren arloan trebatzeak esan nahi du aldizka simulatutako eraso batzuk jasango dituztela, hainbat motatakoak (phishing, vishing, smishing, USB tranpa, etc), edo kasu praktikoei aurre egin beharko dietela, kasu horien aurrean zer erreakzio izango luketen pentsatzeko. Horrela, planaren barruan aurrera eraman diren kontzientziazio-ekintzen benetako iragazkortasun-maila neurtu, eta plana hain eraginkorra izan ez den pertsonentzat beharrezkoak izan daitezkeen ekintza zehatzak identifikatu ahal izateko. Modu horretan, kontzientziazio-planaren emaitzak optimizatu eta bere benetako gaitasuna neurtu ahal izango da, askotariko erakundeentzat oso erabilgarria izango dena. 

Erreferentziak: 

https://www.proofpoint.com/es/newsroom/press-releases/informe-de-proofpoint-human-factor-2019-principales-tendencias-entre-los

https://ciberseguridad.com/normativa/espana/medidas/plan-concienciacion/