Odkrywając kolejne tajemnice Pechowej Dwunastki, czyli 12 typowych problemów związanych z zachowaniem ludzi jak i stylem zarządzania organizacją i leżących u źródeł praktycznie wszystkich incydentów, w tym tych dotyczących bezpieczeństwa informacji, spójrzmy dzisiaj przez lupę na nasze nawyki, które przyjęliśmy za normę czy zaakceptowaliśmy jako standard, czy w pracy, czy w domu.
Przykładów jest dużo, więcej niż chcemy dostrzec przyglądając się sobie. Do tych najbardziej popularnych należą:
Powyższa lista, choć niekompletna to w zakresie konsekwencji wygląda niepokojąco a nawet poważnie. Co można zrobić w celu redukcji obecności tego czynnika w naszym zachowaniu?
Samodzielnie oceń, jaka norma zachowania jest zgodna z Twoimi przekonaniami i wartościami, które cenisz a nie opieraj się na wymówkach, że inni również tak robią. Fakt, że inne osoby zachowują się w określony sposób nie oznacza, że to zachowanie jest poprawne. Asertywność ?i poznanie kontekstu ? są tutaj kluczowymi kompetencjami jakie należy rozwijać.
Niebezpieczne zachowania, nawet przyzwolone w obrębie danej społeczności (jak środowisko firmy czy zespołu, bądź rodzina) należy eliminować skutecznie. Iluzja braku konsekwencji złych nawyków i praktyk głównie bazuje na braku wiedzy o incydentach, do których doprowadziło takie zaufanie, co jest kolejną złą praktyką. Trwamy w błędzie, głównie dlatego że nie dostrzegamy realnie jego konsekwencji, mylnie interpretując przyczyny znanych incydentów. Np. uzyskanie dostępu do kontenerów w Amazon S3, czy baz danych Mongo, w wielu przypadkach zabezpieczonych prostym hasłem lub nawet jego brakiem jest powielaniem złych praktyk stosowanych w lokalnych zasobach (dom, firma). Oczywiście brak świadomości zabezpieczeń sieciowych w chmurze jest tutaj typowo wskazane jako przyczyna, a nie nawyki, które jednak faktycznie stoją za brakiem wskazanych mechanizmów. Z tego powodu, ? reagowanie na incydenty, w tym analiza ich skutków jak i zgłaszanie złych praktyk do poprawy, są kluczową kompetencją pomagającą wyplenić złe nawyki.
Trzecim najbardziej niewidocznym elementem redukującym opisane niepożądane zachowania jest komunikacja i współdzielenie zbliżonych wartości ⛔, czyli faktyczny sens prywatności – znajomość celu i tego co ma być chronione. Zapewnienie, że wszyscy zgadzają się co do podstaw, akceptują ustalone reguły i rozumieją jak własny przykład ? wpływa realnie na ich skuteczność to cel w zasięgu każdego człowieka i każdej organizacji.
Podsumowując. Źle się dzieje, gdy przyzwalamy w formie normy danej społeczności na realizację złych praktyk. Szczególnie gdy są one sprzeczne z naszymi celami i podważają wartość jaką cenimy w naszym prywatnym życiu, rodzinie czy organizacji. Już dzisiaj możesz przemyśleć co stanowi dla Ciebie wartość, jakie zachowania mają na nią negatywny wpływ i rozpocząć ich redukcję, a najlepiej eliminację.
Jeśli chcesz to robić w dojrzały sposób, rejestruj incydenty i analizuj ich przyczyny. Staraj się być w tym obiektywnym i takim podejściem zarażaj faktycznych lub potencjalnych uczestników incydentu. Zespołowa analiza incydentu sama w sobie będzie edukować i wspierać eliminację niebezpiecznych zachowań, zwłaszcza jeśli uda się znaleźć ich źródła i sformułować działania naprawcze. Monitorowanie ilości incydentów, zgodnie z zasadą, iż zarządzać można tylko tym co mierzalne, pozwoli ocenić czy Twoja praca przynosi owoce.
Powodzenia!
Artur Marek Maciąg
Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.