Što koristiti umjesto njega
Cyber prijetnje su se u posljednjem desetljeću transformirale iz jednostavnih virusa i crva u kompleksne, višeslojne napade koje pokreću organizirane kriminalne skupine. Pokreću ih čak i državni akteri.
Posebno je zabrinjavajuće što sve veći broj napada cilja ljudski faktor unutar organizacija. Time su HR odjeli i procesi upravljanja ljudskim resursima postali vrlo ranjivi.
Tradicionalni antivirus, koji je desetljećima bio temelj digitalne zaštite, jednostavno nije dizajniran za suočavanje s ovom novom stvarnošću.
U ovom članku detaljno objašnjavamo zašto oslanjanje isključivo na antivirusni softver danas predstavlja ozbiljan sigurnosni rizik.
Istražit ćemo ograničenja tradicionalnih rješenja, predstaviti moderne alternative poput EDR-a (Endpoint Detection and Response), XDR-a i Zero Trust modela te ponuditi praktične smjernice za izgradnju sveobuhvatne sigurnosne strategije prilagođene veličini i potrebama vaše organizacije.
Bez obzira na to bavite li se cyber sigurnošću profesionalno ili ste HR stručnjak koji želi razumjeti kako zaštititi podatke zaposlenika, ovaj vodič pokriva sve što trebate znati.
Kako radi tradicionalni antivirus?
Saznajte kako funkcionira tradicionalni virus i za kakvu je vrstu prijetnji izvorno dizajniran.
Definicija i osnovna funkcija
Tradicionalni antivirusni softver je program namijenjen otkrivanju, sprječavanju i uklanjanju zlonamjernog softvera s računala i drugih uređaja.
Razvijen je krajem 1980-ih godina kao odgovor na prve računalne viruse koji su se širili putem disketa, a kasnije putem elektroničke pošte i interneta.
Prva generacija antivirusnih programa bila je izuzetno učinkovita u svom vremenu jer su i prijetnje bile relativno jednostavne i predvidljive.
Od prvih antivirusnih programa koje su razvili pioniri poput Johna McAfeeja i Petera Nortona, antivirusna industrija rasla je paralelno s porastom prijetnji.
Devedesetih godina prošlog stoljeća antivirus je bio gotovo jedini sigurnosni alat koji je prosječan korisnik trebao.
No, digitalni krajolik se od tada radikalno promijenio, a antivirusni softver, unatoč poboljšanjima, zadržao je temeljnu arhitekturu koja je sve manje prilagođena današnjim prijetnjama.
Detekcija temeljena na potpisima
Srce tradicionalnog antivirusa je takozvana detekcija temeljena na potpisima (signature-based detection).
Ova metoda funkcionira na sljedeći način. Svaki poznati zlonamjerni program ima jedinstveni digitalni potpis, odnosno specifičan niz bajtova koji ga identificira.
Antivirusne tvrtke prikupljaju uzorke zlonamjernog softvera, analiziraju ih i kreiraju potpise koje zatim distribuiraju korisnicima putem ažuriranja baze podataka.
Kada antivirus skenira datoteku, uspoređuje njezin sadržaj s bazom poznatih potpisa. Ako pronađe podudaranje, datoteka se označava kao prijetnja i stavlja u karantenu ili briše.
Mehanizmi skeniranja
Tradicionalni antivirus koristi nekoliko mehanizama skeniranja.
Skeniranje na zahtjev znači da korisnik ručno pokreće provjeru sustava ili određenih direktorija.
Skeniranje u stvarnom vremenu podrazumijeva da antivirus kontinuirano prati svaku datoteku koja se otvara, kopira ili pokreće.
Planirano skeniranje automatski se odvija prema unaprijed definiranom rasporedu. Konačno, heurističko skeniranje predstavlja rudimentarnu analizu ponašanja programa koja pokušava detektirati nepoznate prijetnje na temelju sumnjivih obrazaca, ali s ograničenom učinkovitošću.
Tradicionalni antivirus i danas je učinkovit protiv poznatih prijetnji.
Funkcionira protiv klasičnih virusa, trojanskih konja, crva, spyware programa i adware programa koji su već zabilježeni u bazama podataka.
Za ove vrste zlonamjernog softvera antivirus ostaje korisna prva linija obrane. No problem nastaje kada se suoči s prijetnjama koje nikada prije nije vidio.
Tradicionalni antivirus nije dovoljan
Objasnit ćemo zašto. Odgovor leži u kombinaciji tri faktora: dramatičnoj evoluciji cyber prijetnji, inherentnim ograničenjima tradicionalne tehnologije i poraznim statistikama iz stvarnog svijeta.
Cyber prijetnje koje zaobilaze antivirus
Današnje prijetnje su sofisticirane, prilagodljive i ciljane.
Pogledajmo najznačajnije kategorije s kojima se tradicionalni antivirus teško nosi:
Zero-day exploiti predstavljaju ranjivosti u softveru koje napadači iskorištavaju prije nego što ih proizvođač softvera uopće otkrije i zakrpa.
Budući da za ove prijetnje ne postoje poznati potpisi, tradicionalni antivirus ih doslovno ne može prepoznati.
Ransomware napadi nove generacije više nemaju veze s jednostavnim šifriranjem datoteka iz ranijih godina.
Moderni ransomware koristi tehnike izbjegavanja detekcije, širi se lateralno mrežom, eksfiltrira podatke prije šifriranja i koristi dvostruku ili čak trostruku ucjenu.
Phishing i socijalni inženjering ciljaju najslabiju kariku u sigurnosnom lancu, a to je čovjek.
Sofisticirani phishing napadi koriste uvjerljive kopije legitimnih web stranica, personalizirane poruke elektroničke pošte i tehnike manipulacije kako bi naveli korisnike da otkriju pristupne podatke ili instaliraju zlonamjerni softver.
Cyber sigurnost u kontekstu ljudskih resursa (cybersecurity human resources) postaje imperativ. Naime, HR zaposlenici zbog prirode posla izloženiji phishing napadima od prosječnog zaposlenika.
Antivirus ne može zaštititi korisnika koji dobrovoljno unese svoje podatke na lažnu stranicu.
Zlonamjerni softver bez datoteka (fileless malware) radi isključivo u radnoj memoriji računala, koristeći legitimne sistemske alate poput PowerShella, WMI-a ili makro naredbi u dokumentima.
Budući da ne zapisuje datoteke na disk, tradicionalni antivirus koji skenira datoteke nema što detektirati. Napadi bez datoteka čine rastući udio svih sigurnosnih incidenata, a njihova stopa uspješnosti je značajno viša od klasičnih napada.
Napredne trajne prijetnje (Advanced Persistent Threats, APT) su dugotrajni, ciljani napadi koje obično provode dobro financirane skupine, uključujući državne aktere.
APT napadi koriste kombinaciju više tehnika, od spear-phishinga preko zero-day exploita do prilagođenog zlonamjernog softvera, i mogu mjesecima ili godinama ostati neprimijećeni unutar mreže organizacije.
Napadi na lanac opskrbe (supply chain attacks) kompromitiraju legitimni softver ili uslugu treće strane kako bi dobili pristup ciljnim organizacijama.
Donosimo primjer još jednog napada. Polimorfni i metamorfni zlonamjerni softver automatski mijenja vlastiti kod pri svakom izvršavanju, čime generira novi digitalni potpis. Polimorfni malware mijenja svoj enkripcijski omotač.
No, metamorfni malware kompletno prepisuje vlastiti kod zadržavajući istu funkcionalnost. Oba pristupa čine detekciju temeljenu na potpisima gotovo nemogućom.
Ograničenja tradicionalnog antivirusa
Čak i bez uzimanja u obzir modernih prijetnji, tradicionalni antivirus ima strukturalna ograničenja koja ga čine nepotpunim sigurnosnim rješenjem.
Oslanjanje na poznate potpise znači da antivirus može zaštititi samo od onoga što je već viđeno i analizirano.
Prema procjenama Instituta AV-TEST, koji svakodnevno registrira preko 450.000 novih zlonamjernih programa i potencijalno neželjenih aplikacija, jaz između pojave nove prijetnje i stvaranja potpisa može trajati od nekoliko sati do nekoliko dana.
Za to vrijeme tvrtke nemaju nikakvu zaštitu.
Na sve to problem radi sporo ažuriranje baza podataka.
Čak i kada se potpis kreira, potrebno je vrijeme za distribuciju ažuriranja svim korisnicima.
Taj proces može trajati predugo u tvrtkama u kojima se prakticira rad od kuće. Veliki broj uređaja usporava rad. Svaki neažurirani uređaj predstavlja potencijalnu ulaznu točku za napadače.
Neefikasnost protiv novih prijetnji očituje se u istraživanjima koja pokazuju da otprilike 30 do 40 posto modernog zlonamjernog softvera uspješno zaobilazi detekciju temeljenu na potpisima.
Neke studije sugeriraju da je taj postotak za ciljane napade čak i viši, dosežući i do 60 posto u određenim scenarijima.
Kada zaposlenik klikne na zlonamjernu poveznicu, otkrije lozinku putem telefonskog poziva ili priključi zaraženi USB uređaj, antivirus reagira prekasno ili uopće ne reagira.
Sam čin interakcije ne uključuje prepoznatljivu datoteku ili potpis.
Sada je jasno zašto naglašavamo da HR cyber awareness training, odnosno obuka zaposlenika o cyber prijetnjama, postaje jednako važna kao i tehnološka zaštita.
Još veći problem nastaje kada zaposlenik šalje podatke u oblak.
Tradicionalni antivirus ne štiti web aplikacije od napada poput SQL injekcija, cross-site scriptinga ili zlouporabe API-ja.
Minimalna zaštita mrežnog prometa znači da antivirus nema uvid u ukupan mrežni promet organizacije i ne može detektirati lateralno kretanje napadača, eksfiltraciju podataka putem šifriranih kanala ili komunikaciju kompromitiranog uređaja s kontrolnim poslužiteljem napadača.
Ograničena vidljivost u aktivnosti krajnjih točaka ostavlja sigurnosne timove bez kompletne slike.
Tradicionalni antivirus bilježi samo osnovne informacije o detektiranim prijetnjama, bez detaljne telemetrije o procesima, mrežnim vezama, promjenama u registru ili aktivnostima korisnika koje bi omogućile dubinsku analizu incidenta.
Sve navedeno usmjerava tvrtke prema EDR-u (Endpoint Detection and Response).
Statistika i stvarni primjeri
Nedostatnost tradicionalnog antivirusa pokazuju razni primjeri iz prošlosti.
Pogledajte samo ransomware napad na Colonial Pipeline u 2021. godini.
Rezultirao je obustavljanjem rada najvećeg naftovoda na istočnoj obali SAD-a. Posljedično je došlo do nestašice goriva. Na kraju je tvrtka platila otkupninu u iznosu od 4,4 milijuna dolara.
Napad je započeo kompromitiranom lozinkom za VPN pristup, dakle vektorom koji antivirus ne pokriva.
U europskom kontekstu, napad na irski zdravstveni sustav HSE u 2021. godini prouzročio je štetu procijenjenu na više od 100 milijuna eura i tjednima je ometao zdravstvenu skrb.
I u ovom slučaju postojala je antivirusna zaštita koja nije spriječila incident.
Što koristiti umjesto ili uz antivirus
Moderna cyber zaštita zahtijeva slojevit pristup koji kombinira više tehnologija i praksi.
U nastavku predstavljamo rješenja koja nadopunjuju ili zamjenjuju tradicionalni antivirus i koja bi svaka organizacija koja ozbiljno pristupa cyber sigurnosti trebala razmotriti.
EDR — Endpoint Detection and Response
EDR rješenje (Endpoint Detection and Response) predstavlja sljedeću generaciju zaštite krajnjih točaka i ključnu komponentu moderne cybersecurity strategije.
Za razliku od tradicionalnog antivirusa koji reagira samo na poznate prijetnje, EDR kontinuirano prati i bilježi sve aktivnosti na krajnjim uređajima, analizira ih u kontekstu i omogućuje brzu reakciju na sumnjivo ponašanje.
EDR radi na fundamentalno drugačijem principu. Umjesto oslanjanja isključivo na potpise, EDR koristi bihevioralnu analizu, strojno učenje i naprednu heuristiku za otkrivanje prijetnji.
Kontinuirano praćenje znači da EDR ne čeka da datoteka bude skenirana, već neprekidno prati sve procese, mrežne veze, promjene registra i aktivnosti datotečnog sustava na svakom krajnjem uređaju.
Bihevioralna analiza omogućuje da umjesto traženja specifičnog potpisa, EDR analizira ponašanje programa i procesa.
Ako program počne šifrirati velik broj datoteka u kratkom vremenu, EDR će to prepoznati kao sumnjivo ponašanje čak i ako taj program nikada prije nije viđen.
Strojno učenje omogućuje algoritmima da se treniraju na ogromnim količinama podataka o legitimnom i zlonamjernom ponašanju, prepoznajući nove prijetnje na temelju obrazaca, a ne potpisa.
Mogućnosti lova na prijetnje (threat hunting) pružaju sigurnosnim timovima alate za proaktivno traženje prijetnji koje još nisu aktivirale automatske alarme.
Forenzička analiza, temeljena na kompletnoj telemetriji koju EDR prikuplja, omogućuje detaljnu rekonstrukciju incidenta, od inicijalnog vektora napada do svih zahvaćenih sustava.
Tvrtke koje implementiraju EDR bilježe značajno kraće vrijeme detekcije i reakcije na incidente u usporedbi s onima koje koriste samo tradicionalni antivirus.
XDR — Extended Detection and Response
XDR (Extended Detection and Response) predstavlja evoluciju EDR-a koja integrira podatke iz više sigurnosnih slojeva u jednu objedinjenu platformu.
Dok se EDR fokusira na krajnje točke, XDR prikuplja i korelira podatke iz krajnjih točaka, mrežnog prometa, elektroničke pošte, oblaka, identiteta korisnika i drugih izvora.
Ova integracija pruža potpunu sliku sigurnosnog stanja organizacije i eliminira takozvane slijepe točke koje nastaju kada se koriste izolirani sigurnosni alati.
Automatska korelacija događaja iz različitih izvora smanjuje broj lažno pozitivnih alarma. Sposobnost praćenja napada kroz različite faze i vektore omogućuje bržu detekciju.
Jedinstven prikaz svih sigurnosnih događaja smanjuje kompleksnost upravljanja sigurnošću, dok automatizirana reakcija na incidente skraćuje vrijeme od detekcije do sanacije.
XDR je posebno koristan za srednje i velike organizacije koje koriste više sigurnosnih alata i trebaju objedinjenu vidljivost.
Ako vaša tvrtka već koristi proizvode jednog dobavljača za više sigurnosnih funkcija, prelazak na XDR istog dobavljača može biti logičan sljedeći korak.
Next-Generation Antivirus — NGAV
Za organizacije koje traže nadogradnju bez potpune zamjene postojeće arhitekture, antivirusna rješenja sljedeće generacije (NGAV) nude srednji put.
NGAV zadržava neke elemente tradicionalnog pristupa, poput skeniranja datoteka, ali ih nadopunjuje modernim tehnologijama.
Umjetna inteligencija i strojno učenje omogućuju NGAV-u klasifikaciju datoteka kao zlonamjernih ili benignih bez oslanjanja na bazu potpisa, analizirajući stotine atributa datoteke i donoseći odluku u milisekundama.
Zaštita temeljena na oblaku koristi oblak za analizu sumnjivih datoteka, pružajući pristup najnovijim informacijama o prijetnjama bez čekanja na lokalno ažuriranje.
Zaštita od napada bez datoteka prati aktivnosti skripti, makro naredbi i sistemskih alata. Zaštita od iskorištavanja ranjivosti putem ugrađenih mehanizama za zaštitu memorije sprječava eksploataciju poznatih i nepoznatih ranjivosti.
MDR — Managed Detection and Response
Ne mogu sve organizacije izgraditi vlastiti sigurnosni operativni centar. Upravo tu na scenu stupa MDR servis.
MDR (Managed Detection and Response) je usluga u kojoj vanjski tim sigurnosnih stručnjaka neprekidno prati, analizira i reagira na sigurnosne prijetnje u ime vaše tvrtke.
MDR pružatelji koriste napredne tehnologije poput EDR-a i XDR-a, ali ih nadopunjuju ljudskom ekspertizom, odnosno iskusnim analitičarima koji interpretiraju alarme, provode lov na prijetnje i koordiniraju reakciju na incidente.
MDR je idealan za organizacije koje nemaju dovoljno internog kadra ili ekspertize za upravljanje naprednim sigurnosnim alatima.
Posebno je koristan za mala i srednja poduzeća koja ne mogu opravdati trošak vlastitog sigurnosnog tima, za organizacije koje imaju IT odjel, ali ne i specijalizirane sigurnosne stručnjake te za tvrtke koje trebaju neprekidni nadzor, ali nemaju resurse za trosmjenski rad sigurnosnog tima.
Prednosti MDR-a uključuju pristup timu iskusnih analitičara bez troškova zapošljavanja i obuke, neprekidno praćenje 365 dana u godini bez praznina u pokrivenosti, bržu reakciju na incidente zahvaljujući iskustvu s velikim brojem klijenata te predvidljive mjesečne troškove umjesto velikih kapitalnih ulaganja.
Zero Trust sigurnosni model
Zero Trust nije proizvod koji kupujete, već arhitekturalni pristup sigurnosti koji fundamentalno mijenja način na koji organizacija kontrolira pristup resursima.
Tradicionalni sigurnosni model pretpostavljao je da je sve unutar mrežnog perimetra organizacije sigurno, a sve izvan njega potencijalno opasno.
Zero Trust model odbacuje tu pretpostavku. Umjesto toga, svaki korisnik, uređaj i aplikacija moraju dokazati svoju legitimnost prije pristupa bilo kojem resursu, neovisno o tome nalaze li se unutar ili izvan korporativne mreže. Princip nikada ne vjeruj, uvijek provjeri temelj je ovog modela.
Implementacija Zero Trust arhitekture uključuje višestruku autentifikaciju (MFA) koja zahtijeva dva ili više faktora za potvrdu identiteta korisnika.
Na taj se način drastično smanjuje rizik od kompromitiranih lozinki.
Pristup s minimalnim ovlastima (least privilege access) znači da korisnici dobivaju samo one ovlasti koje su im nužno potrebne za obavljanje posla. Mikrosegmentacija mreže dijeli mrežu na male, izolirane segmente koji ograničavaju lateralno kretanje napadača.
Zero Trust posebno je relevantan u kontekstu hibridnog rada, gdje zaposlenici pristupaju korporativnim resursima s različitih lokacija i uređaja, čineći tradicionalni mrežni perimetar nepostojećim.
SIEM — Security Information and Event Management
SIEM sustavi (Security Information and Event Management) predstavljaju centralnu živčanu mrežu modernog sigurnosnog operativnog centra.
SIEM prikuplja, normalizira i analizira logove i sigurnosne događaje iz svih IT sustava organizacije, uključujući poslužitelje, mrežnu opremu, aplikacije, baze podataka i sigurnosne alate.
Centralizacijom ovih podataka SIEM pruža jedinstven pregled nad svim aktivnostima u IT okruženju.
SIEM sustavi obrađuju tisuće, pa čak i milijune događaja u sekundi, identificirajući anomalije i potencijalne prijetnje gotovo u stvarnom vremenu. Ova sposobnost ključna je za smanjenje vremena detekcije napada s mjeseci na minute ili sate.
Prava snaga SIEM-a leži u korelaciji naizgled nepovezanih događaja.
Na primjer, neuspjela prijava na jedan sustav sama po sebi nije alarm. No, kada SIEM korelira tu neuspjelu prijavu s kasnijom uspješnom prijavom s neuobičajene lokacije, nakon čega slijedi pristup osjetljivim datotekama i prijenos podataka prema vanjskom poslužitelju, nastaje jasna slika napada u tijeku.
Vodeća SIEM rješenja su Splunk Enterprise Security, Microsoft Sentinel, IBM QRadar i Elastic Security.
Dodatni sigurnosni slojevi
Sveobuhvatna zaštita zahtijeva i dodatne komponente koje tvore kompletnu cyber sigurnosnu strategiju.
Vatrozid sljedeće generacije (NGFW) kombinira tradicionalnu funkcionalnost vatrozida s dubinskom inspekcijom paketa, prevencijom upada, kontrolom aplikacija i integriranim informacijama o prijetnjama.
Vodeća rješenja uključuju Palo Alto Networks, Fortinet FortiGate i Check Point.
Sigurnosni pristupnik za elektroničku poštu skenira dolaznu i odlaznu elektroničku poštu na zlonamjerne privitke, phishing poveznice i pokušaje prijevare.
S obzirom na to da elektronička pošta ostaje primarni vektor napada, posebice za HR odjele koji primaju brojne poruke od vanjskih pošiljatelja, ovo je kritičan sloj zaštite.
Vatrozid za web aplikacije (WAF) štiti web aplikacije od specifičnih napada poput SQL injekcija, cross-site scriptinga i DDoS napada na aplikacijskoj razini.
Segmentacija mreže dijeli mrežu na logički odvojene zone, ograničavajući pristup između različitih dijelova infrastrukture. Ako napadač kompromitira jedan segment, segmentacija sprječava slobodno kretanje prema ostalim dijelovima mreže.
Prevencija gubitka podataka (DLP) prati i kontrolira prijenos osjetljivih informacija izvan organizacije, bilo putem elektroničke pošte, oblaka, prijenosnih medija ili drugih kanala.
DLP je posebno važan za usklađenost s regulatornim zahtjevima poput GDPR-a i za zaštitu osobnih podataka zaposlenika kojima upravljaju HR odjeli.
Upravljanje ranjivostima uključuje redovito skeniranje sustava za poznate ranjivosti, njihovu prioritizaciju prema riziku i pravovremenu primjenu zakrpa. Mnogi uspješni napadi iskorištavaju ranjivosti za koje zakrpe postoje, ali nisu primijenjene.
Obuka zaposlenika o cyber sigurnosti možda je najvažniji, a istovremeno najzanemareniji sloj zaštite. Redoviti treninzi koji simuliraju phishing napade, educiraju o sigurnosnim politikama i uče zaposlenike prepoznati prijetnje mogu dramatično smanjiti broj uspješnih napada temeljenih na ljudskoj pogreški.
Slojeviti pristup sigurnosti
Koncept obrane u dubinu
Slojeviti pristup sigurnosti, poznat i kao defense-in-depth, temelji se na ideji da niti jedan pojedinačni sigurnosni mehanizam nije savršen.
Stoga se koristi više preklapajućih slojeva zaštite, tako da propust jednog sloja ne rezultira kompletnim kompromisom sustava. Ovaj koncept potječe iz vojnog planiranja, ali je savršeno primjenjiv na cyber sigurnost.
Kako kombinirati različite sigurnosne alate
Učinkovita slojevita zaštita nije puko gomilanje alata, već njihova promišljena integracija.
Preventivni slojevi poput NGAV-a, NGFW-a, WAF-a i MFA sprječavaju prijetnje da uopće dođu do cilja. Detektivni slojevi poput EDR-a, XDR-a, SIEM-a i sustava za otkrivanje upada otkrivaju prijetnje koje su prošle preventivne kontrole.
Reakcijski slojevi poput MDR-a, SOAR-a i planova za odgovor na incidente omogućuju brzu reakciju na detektirane prijetnje. Slojevi oporavka poput sigurnosnih kopija i planova za oporavak od katastrofe osiguravaju nastavak poslovanja nakon incidenta.
Uloga HR-a u cyber sigurnosti
Cyber sigurnost više nije isključivo domena IT odjela. HR odjeli imaju vrlo važnu ulogu u zaštiti organizacije iz nekoliko razloga.
Prvo, HR upravlja najosjetljivijim osobnim podacima, od matičnih brojeva i financijskih podataka do zdravstvenih informacija zaposlenika. Kompromitacija ovih podataka nosi ozbiljne regulatorne, financijske i reputacijske posljedice.
Drugo, HR odjel je odgovoran za procese zapošljavanja i offboardinga koji predstavljaju kritične sigurnosne točke.
Pravovremeno dodjeljivanje i oduzimanje pristupnih prava, provjera identiteta novih zaposlenika i sigurno upravljanje podacima kandidata sastavni su dijelovi HR cybersecurity strategije.
Treće, HR je prirodni partner IT odjelu u provođenju programa osvješćivanja o sigurnosti. HR stručnjaci razumiju kako motivirati zaposlenike, kako strukturirati programe obuke i kako osigurati sudjelovanje svih razina organizacije.
Preporuke za kraj
Svaka tvrtka koja ozbiljno pristupa cyber zaštiti trebala bi osigurati da HR odjel aktivno sudjeluje u definiranju sigurnosnih politika, posebno onih vezanih uz upravljanje pristupom, klasifikaciju podataka i postupanje s osobnim podacima zaposlenika.
Implementacija redovitih i obaveznih programa obuke o cyber sigurnosti za sve zaposlenike, uz posebne module za HR osoblje, kritičan je korak.
Uspostavljanje jasnih procedura za sigurno zapošljavanje i odlazak zaposlenika, uključujući upravljanje digitalnim identitetima, smanjuje rizik od internih prijetnji.
Konačno, suradnja s IT odjelom na razvoju plana za odgovor na incidente koji uključuje komunikacijske procedure prema zaposlenicima i regulatornim tijelima osigurava da organizacija može brzo i učinkovito reagirati na svaki incident.
