Pechowa Dwunastka: Spójrzmy przez lupę na nasze nawyki

Odkrywając kolejne tajemnice Pechowej Dwunastki, czyli 12 typowych problemów związanych z zachowaniem ludzi jak i stylem zarządzania organizacją i leżących u źródeł praktycznie wszystkich incydentów, w tym tych dotyczących bezpieczeństwa informacji, spójrzmy dzisiaj przez lupę na nasze nawyki, które przyjęliśmy za normę czy zaakceptowaliśmy jako standard, czy w pracy, czy w domu.

Przykładów jest dużo, więcej niż chcemy dostrzec przyglądając się sobie. Do tych najbardziej popularnych należą:

  1. W pracy:
    • Praca z informacjami służbowymi i rozmowy o pracy w przestrzeniach publicznych, podczas podróży, w taksówce – gdzie nasze rozmowy mogą zostać podsłuchane, a ekran podglądnięty, dane przechwycone (używając publicznego wi-fi, nieznanego połączenia kablowego, przy braku stosowania VPN-a);
    • Przytrzymywanie drzwi z kontrolą dostępu – uprzejmie wpuszczając nieznajomych na teren firmy;
    • Wysyłanie „zaproszeń na pizzę” z konta mailowego użytkownika który nie zablokował ekranu urządzenia służbowego – niwecząc rozliczalność czynności przeprowadzonych w trakcie tej sesji logowania przez użytkownika i uniemożliwiając karanie pracownika-sabotażysty (nie wiadomo kto faktycznie wykonał operacje na tym koncie);
    • Obchodzenie zabezpieczeń proceduralnych i technicznych w celu większej elastyczności i wydajności realizowanych zadań służbowych, itp.
  2. W domu:
    • „Tak jak wszyscy” – udostępnianie zdjęć, lokalizacji, informacji prywatnych publicznie w sieciach społecznościowych, przekazywanie prywatnych i intymnych informacji mailem u publicznego operatora (google, interia, onet, wp) – pozbawiając się kontroli nad naszymi tajemnicami bez świadomości konsekwencji;
    • Lekkomyślne podejście do tworzenia kopii zapasowych i archiwizacji danych ważnych dla naszych interesów – co w przypadku ich utraty lub braku dostępu (zagubienie, kradzież, ransomware) prowadzi do poważnych utrudnień;
    • Nadużywanie elektronicznych urządzeń ekranowych do komunikacji, rozrywki, edukacji i pracy w obecności bliskich, którzy potrzebują uwagi – co prowadzi do eskalacji problemów, budowania dystansu i ograniczenia postrzegania świadomości, docelowo do agresji i depresji.

Powyższa lista, choć niekompletna to w zakresie konsekwencji wygląda niepokojąco a nawet poważnie. Co można zrobić w celu redukcji obecności tego czynnika w naszym zachowaniu?

Samodzielnie oceń, jaka norma zachowania jest zgodna z Twoimi przekonaniami i wartościami, które cenisz a nie opieraj się na wymówkach, że inni również tak robią. Fakt, że inne osoby zachowują się w określony sposób nie oznacza, że to zachowanie jest poprawne. Asertywność 🚫i poznanie kontekstu 🔍 są tutaj kluczowymi kompetencjami jakie należy rozwijać.

Niebezpieczne zachowania, nawet przyzwolone w obrębie danej społeczności (jak środowisko firmy czy zespołu, bądź rodzina) należy eliminować skutecznie. Iluzja braku konsekwencji złych nawyków i praktyk głównie bazuje na braku wiedzy o incydentach, do których doprowadziło takie zaufanie, co jest kolejną złą praktyką. Trwamy w błędzie, głównie dlatego że nie dostrzegamy realnie jego konsekwencji, mylnie interpretując przyczyny znanych incydentów. Np. uzyskanie dostępu do kontenerów w Amazon S3, czy baz danych Mongo, w wielu przypadkach zabezpieczonych prostym hasłem lub nawet jego brakiem jest powielaniem złych praktyk stosowanych w lokalnych zasobach (dom, firma). Oczywiście brak świadomości zabezpieczeń sieciowych w chmurze jest tutaj typowo wskazane jako przyczyna, a nie nawyki, które jednak faktycznie stoją za brakiem wskazanych mechanizmów. Z tego powodu, 💬 reagowanie na incydenty, w tym analiza ich skutków jak i zgłaszanie złych praktyk do poprawy, są kluczową kompetencją pomagającą wyplenić złe nawyki.

Trzecim najbardziej niewidocznym elementem redukującym opisane niepożądane zachowania jest komunikacja i współdzielenie zbliżonych wartości ⛔, czyli faktyczny sens prywatności – znajomość celu i tego co ma być chronione. Zapewnienie, że wszyscy zgadzają się co do podstaw, akceptują ustalone reguły i rozumieją jak własny przykład 👍 wpływa realnie na ich skuteczność to cel w zasięgu każdego człowieka i każdej organizacji.

Podsumowując. Źle się dzieje, gdy przyzwalamy w formie normy danej społeczności na realizację złych praktyk. Szczególnie gdy są one sprzeczne z naszymi celami i podważają wartość jaką cenimy w naszym prywatnym życiu, rodzinie czy organizacji. Już dzisiaj możesz przemyśleć co stanowi dla Ciebie wartość, jakie zachowania mają na nią negatywny wpływ i rozpocząć ich redukcję, a najlepiej eliminację.

Jeśli chcesz to robić w dojrzały sposób, rejestruj incydenty i analizuj ich przyczyny. Staraj się być w tym obiektywnym i takim podejściem zarażaj faktycznych lub potencjalnych uczestników incydentu. Zespołowa analiza incydentu sama w sobie będzie edukować i wspierać eliminację niebezpiecznych zachowań, zwłaszcza jeśli uda się znaleźć ich źródła i sformułować działania naprawcze. Monitorowanie ilości incydentów, zgodnie z zasadą, iż zarządzać można tylko tym co mierzalne, pozwoli ocenić czy Twoja praca przynosi owoce.

Powodzenia!

 

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.