Jak kultura organizacyjna wpływa na cyberbezpieczeństwo w biznesie?

Pandemia koronawirusa oraz rosyjska inwazja na Ukrainę znacząco przyczyniły się do wzrostu aktywności cyberprzestępców. Na celowniku są także polskie firmy. Ataki ransomware stają się codziennością. Wiedzą o tym dyrektorzy i menedżerowie, ale czy reszta pracowników również? Jak kultura firmowa przyczynia się do zwiększenia cyberbezpieczeństwa?

W 2020 roku odsetek polskich przedsiębiorstw dotkniętych atakiem ransomware wynosił 13%. W roku 2021 – już 77%. Różnica jest ogromna, lecz na szczęście świadomość Polaków na temat zagrożeń w sieci także rośnie. Blisko połowa pracowników ankietowanych przez Sophos twierdzi, że w ich firmach zwraca się większą uwagę na kwestie związane z cyberbezpieczeństwem.

Liczby mówią same za siebie – ataki w cyberprzestrzeni są, i to coraz powszechniejsze. Polskie firmy muszą odpowiednio zabezpieczać swoje systemy. Inwestycje są jednak mało efektywne, jeśli sami pracownicy nie znają bądź ignorują zasady odpowiedzialnego i rozważnego poruszania się w Internecie.

Kultura organizacyjna a bezpieczeństwo firmy

Odpowiednio zbudowana kultura organizacyjna jasno wyznacza zasady funkcjonowania w firmie. Chodzi tu nie tylko o spójność wizerunkową czy zgodność wartości osób tworzących organizację, ale i cyberbezpieczeństwo. Kultura firmowa oparta na otwartej komunikacji, świadomości i odpowiedzialności to klucz do optymalnej ochrony. Tylko jak zacząć ją wdrażać?

Budowanie świadomości i poczucia odpowiedzialności

Wprowadzenie regularnych szkoleń pracowników powinno być pierwszym krokiem do zwiększenia ochrony firmy. Żadne, nawet najlepsze i najdroższe programy czy sprzęty nie będą bowiem skuteczne, jeśli osoby korzystające z nich nie będą w stanie rozpoznać i zaraportować zagrożenia.

W szkoleniach nie chodzi o zmuszanie pracowników do oglądania nudnych wykładów czy też podsuwanie im broszur z suchymi faktami i instrukcjami. Oczywiście informowanie o zagrożeniach jest istotne, ale by ludzie mogli odpowiednio reagować w czasie kryzysu, potrzebny jest trening. Dobrym rozwiązaniem są symulacje – nie tylko pozwalają one pracownikom zapoznać się z planem działania w razie incydentu, ale i umożliwiają kierownictwu sprawdzenie, czy wdrożone procesy są skuteczne oraz na czym warto skupić się bardziej.

Szkolenia pracowników powinny poruszać kwestie, które najczęściej sprawiają, że firmy padają ofiarami cyberataków. Warto, by zarówno teoretycznie, jak i praktycznie obejmowały takie tematy, jak:

• Phishing. To metoda wykorzystywana przez oszustów polegająca na podszywaniu się pod osoby lub instytucje, które cieszą się zaufaniem – kierownictwo, współpracowników czy partnerów biznesowych. Od wybuchu pandemii coraz więcej przestępców korzysta właśnie z tego, że ludzie są skłonni przekazać im poufne informacje, nie sprawdzając dokładnie, z kim tak naprawdę się kontaktują.
• Wykorzystanie oprogramowania. Budowanie kultury organizacyjnej powinno iść w parze z inwestowaniem w narzędzia zwiększające bezpieczeństwo. Oprogramowanie antywirusowe czy darmowy VPN do pracy zdalnej (i nie tylko) są niezbędne na każdym urządzeniu służbowym, ale istotne jest też, by sami pracownicy wiedzieli, jak i kiedy korzystać z tych narzędzi.
• Praca zdalna. Po wybuchu pandemii koronawirusa praca zdalna zadomowiła się w Polsce. Wielu pracowników wcale nie ma ochoty wracać do biur, jeśli ich specyfika stanowiska tego nie wymaga. Praca zdalna czy hybrydowa wymaga jednak wdrożenia środków bezpieczeństwa oraz świadomości samych pracowników na temat tego, jakie działania są potencjalnie szkodliwe. Przykładowo, łączenie się z firmowymi serwerami przez publiczne Wi-Fi bez dodatkowego zabezpieczenia (np. w postaci VPN-u) nie jest dobrym pomysłem.

Konstruktywna komunikacja a kultura bezpieczeństwa w pracy

Czasem nawet regularne szkolenia i najszczersze chęci to za mało. Sprzęty ulegają awariom, a ludzie popełniają błędy. W budowaniu kultury organizacyjnej liczy się również, a może przede wszystkim, tworzenie takiej atmosfery, która pozwala na sprawne wykrywanie problemów i radzenie sobie z nimi.

Nie ma tu więc miejsca na obwinianie czy karanie. Ludzie czujący się swobodnie są w końcu bardziej skłonni, by wskazywać potencjalne słabe strony systemów, wyciągać wnioski z popełnionych błędów i budować kulturę firmową opartą na współpracy i odpowiedzialności.