Kolumna:
Bez obzira koji posao obavljali, bitno je da obratimo pažnju ne samo ne radni aspekt već i na bezbednosni aspekt. Bilo da je reč o zaštiti podataka ili održavanju aparata za slučaj požara, poštovanje osnovnih bezbedosnih normi je osnov za pravilno funkcionisanje radnog mesta.
Pre svega ono što je potrebno da znamo jeste da najveći akcenat mora biti na edukaciji zaposlenih. Bez obzira na veličinu preduzeća ili ustanove, edukacija u vidu seminara, kompanijskih i poslovnih treninga je neophodna kako bi se efekat uvedenih bezbednosnih normi video u praksi.
Kod nas je bezbednost i zdravlje na radu regulisano Zakonom o bezbednosti i zdravlju na radu koji uređuje obaveze poslodavaca i zaposlenih kojih moraju da se pridržavaju kako bi se obezbedila bezbednost radnog kolektiva i očuvanje sredstava za rad. Takođe u slučaju kršenja ovih pravila, predviđene su enormne kazne za poslodavca. Jedan od najčešćih slučajeva ugrožavanje bezbednosti na radu, jeste u građevinskim radovima. Naime, u mnogim slučajevima, nepoštovanje propisa o nošenju šlema i druge propisane opreme, nepostavljanje radnika zaduženog za nadzor bezbednosti, dovelo je do tragičnih ishoda za zaposlene. Ministarstvo rada Republike Srbije je donelo i Pravilnik o preventivnim merama za zdrav i bezbedan rad na radnom mestu kojim zabranjuje rad tokom elementarnih nepogoda, što su najčešće visoke temperature koje mogu naškoditi zaposlenima.
Kao što se može videti, bezbednosne norme se na prvom mestu odnose na zaštiti zaposlenih a zatim na zaštitu imovine i drugih bitnih informacija kompanije.
S obzirom da se većina posla u mnogim kompanijama obavlja upotrebom računara, poznavanja osnovnih normi bezbednosti doprinosi mnogo u zaštiti integriteta kompanije.
Ukoliko se određeni podaci skladište na serveru koji su naročito osetljivi, isti server ne bi trebalo da bude izložen internetu. Potrebno je ograničiti pristup na internu mrežu gde će podaci biti dostupni samo zaposlenima i poslodavcu. Naravno pored toga je potrebno izvršiti reviziju svakog sistema i konfigurisati ga tako da se onemogući napad s ozbirom na propust koji je postojao u software-u koji server koristi. Postavljanje najnovije verzije softvera je imperativ, ali samo nakon izvršene provere istog. Moguće je da nova verzija nije kompatibilna sa podešavanjima starije verzije te da dovede do dodatnog gubitka vreme u pokušaju rešavanja nastalog problema.
Vođenje inventara je takođe dobra norma, jer nam daje brz uvid u stanje imovine, instaliranih aplikacija, opreme i bezbednosno najzanimljivijih i ranjivih objekata.
Dvostruka autentifikacija je još jedna od normi koja je dobra ne samo u poslovnom svetu već i u privatnom. Naime kada omogućite 2FA, Two Factor Authentication, ulaz na vaš email nalog ili na Facebook nalog, moguć je jedino ako nakon što unesete vaše korisničko ime i šifru, unesete i kod koji se nasumično generiše i koji je validan u određenom vremenskom periodu. U poslednjem periodu sve više se ide i na korišćenje otiska prsta kako bi se unapredila bezbednost i olakšao pristup nalogu. Neke kompanije smatraju da je ovaj vid zaštite bolje jer za razliku od 2FA ne postoji mogućnost presretanja SMS poruka i dobijanja pistupa. Ipak taj rizik je veći u državnim institucijama nego u privatnom sektoru.
Važno je da zaposleni znaju da razlikuju autentične poruke svojih menadžera i drugih zaposlenih od Phishera. Osnovna funkcija phishera bilo da je reč o mejlu ili sajtu, je da zavara korisnika kako bi napadač dobio dalji pristup i nastavio napad. Naročito je od značaja edukacija menadžera i drugih zaposlenih čija uloga je mnogo više na meti te je potrebno obratiti naročitu pažnju o tome da li je pošiljalac zaista onaj ko se predstavlja da jeste.
Zaštita diskova i drugih medijuma enkripcijom obezbeđuje da podaci ostanu na sigurnom mestu van dohvata drugih lica. Prilikom prodaje opreme ili odbacivanje iste, važno je da se podaci nepovratno unište kako ne bi dopali u ruke konkurencije ili drugih koji mogu da iste zloupotrebe i nanesu štetu. U mnogim američkim korporacijama oprema se uništava tako što se seku kablovi a hard diskovi buše bušilicom kako bi se onemogućio povratak podataka od strane osobe sa malicioznim namerama koja bi naišla na isti.
Radno mesto potrebno je osigurati kako bukvalno, tako i kroz dodavanje portira koji će se starati o fizičkoj bezbednosti stvari opreme i sprečavati neovlašćen ulazak drugih u posed. Pored toga potrebno je da računare zaključavamo šifrom kao i da obratimo pažnju na to šta smemo a šta ne smemo da instaliramo a što se inače propisuje od strane osobe ovlašćene za bezbednost.
Imajući u vidu da je sve više napada zasnovano na prevari potrebno je da obratimo i pažnju na informacije koje delimo na društvenim mrežama sa drugim korisnicima. Upotrebu istih uglavnom treba ograničiti tokom radnog vremena, ali i voditi računa o korišćenju istih nakon radnog vremena. Mnoge informacije koje možda i nesvesno podelimo, mogu naneti štetu poslodavcu i samim zaposlenima jer će iste biti iskorišćeni od osoba putem socijalnog inženjeringa. Suština je da i nivo informacija koji se deli u prisustvu drugih lica koji se dešava van Interneta treba ograničiti na razuman nivo koji neće ugroziti kompaniju. Bez obzira što povezujemo socijalni inženjering sa internet prevara i informacionim sistemima, on je prisutan još od najranijih vremena. Njegova suština ostala je ista bez obziru na formu koju je dobijao i kako se vršio.
Kao što možemo videti, mnoge od ovih mera mogu da se primene bez obzira na delatnost kompanije. S obzirom da živimo u digitalnom dobu, potrebno je kombinovati mere koje već poznajemo i kojih se pridržavamo sa novim kako ne bismo nespremno dočekali nove izazove. Ipak, ono što je najvažnije jeste implementacija kulture bezbednosti. Bilo da je reč o radniku na građevini ili finansijskom revizoru ili digitalnom marketaru, samo kroz edukaciju i poštovanje propisanih pravila i normi, možemo stvoriti bezbednije radno okruženje za sve.
Nikola Stojić
Izvori:
Zakon o bezbednosti i zdravlju na radu https://www.paragraf.rs/propisi/zakon_o_bezbednosti_i_zdravlju_na_radu.html
Pravilnik o preventivnim merama za bezbedan i zdrav rad na radnom mestu https://www.paragraf.rs/propisi/pravilnik_o_preventivnim_merama_za_bezbedan_i_zdrav_rad_na_radnom_mestu.html
10 Basic Information Security practices https://duo.com/blog/10-basic-information-security-practices
