Cui se adresează acest îndrumar?
Îndrumarul de față a fost conceput cu un scop simplu: să ajute partidul dvs. politic să dezvolte un plan de securitate cibernetică ușor de înțeles și de implementat. În contextul unei lumi care trece tot mai mult online, securitatea cibernetică nu mai este doar un cuvânt tehnic, ci a devenit un concept de o importanță critică pentru succesul unei organizații și siguranța unei echipe. În special în cazul organizațiilor societății civile din spațiul democrației, propagandei, responsabilității și drepturilor omului, securitatea informațiilor (atât online, cât și offline) este o provocare care necesită atenție, investiții și vigilență.
Este foarte probabil ca organizația dvs. – dacă nu a fost până acum – să fie, pe viitor, ținta unui atac cibernetic. Nu ne dorim să provocăm panică; acest lucru se întâmplă chiar și organizațiilor care nu se consideră neapărat ținte.
În cursul unui an, Center for Strategic and International Studies, care publică o listă curentă a așa-numitelor „incidente semnificative de securitate cibernetică, cataloghează sute de atacuri cibernetice grave, multe dintre acestea vizând poate chiar sute de organizații în același timp. Pe lângă aceste atacuri raportate, în fiecare an există, probabil, sute de alte atacuri de mică amploare care nu sunt detectate sau raportate, multe vizând organizațiile societății civile care activează în sprijinul democrației, responsabilității și drepturilor omului. Organizațiile care reprezintă femeile sau alte grupuri marginalizate sunt adesea țintele acestor atacuri.
Atacurile cibernetice de acest gen au consecințe semnificative. Fie că au ca scop furtul de bani, înăbușirea exprimării opiniilor, perturbarea operațiunilor organizației, distrugerea reputației dvs. sau chiar furtul de informații care ar putea provoca daune psihologice sau fizice asupra membrilor sau personalului, asemenea amenințări trebuie luate în serios.
Partea bună este că nu este nevoie să deveniți programatori sau tehnicieni de înaltă calificare pentru a vă apăra pe dvs. și organizația dvs. de amenințările comune. Cu toate acestea, trebuie să fiți pregătiți să investiți efort, energie și timp pentru dezvoltarea și implementarea unui plan solid de securitate la nivelul organizației.
Dacă nu v-ați gândit niciodată la securitatea cibernetică pentru organizația dvs., nu ați avut timp să vă concentrați pe asta, sau dacă aveți niște cunoștințe de bază despre acest subiect, dar considerați că organizația dvs. și-ar putea îmbunătăți securitatea cibernetică, acest îndrumar vi se adresează. Indiferent unde vă aflați, acest îndrumar are rolul de a furniza organizației dvs. informații esențiale de care are nevoie pentru a implementa un plan solid de securitate. Un plan care nu se rezumă la niște instrucțiuni scrise, ci care vă permite să implementați cele mai bune practici.
Ce este un plan de securitate și de ce ar trebui să aibă unul organizația mea?
Un plan de securitate este setul de politici, proceduri și instrucțiuni scrise agreate de organizația dvs. în scopul de a atinge un nivel de securitate pe care dvs. și echipa dvs. îl considerați adecvat pentru siguranța oamenilor, partenerilor și informațiilor dvs.
Un plan de securitate bine făcut și actualizat la nivelul organizației vă poate proteja și vă poate face mai eficienți oferindu-vă liniștea de care aveți nevoie pentru a vă concentra pe munca importantă de zi cu zi a organizației dvs. Fără a reconsidera un plan comprehensiv, este foarte ușor să fiți orbi la anumite tipuri de amenințări, concentrându-vă prea mult pe un risc sau ignorând securitatea cibernetică până la momentul unei crize.
Când începeți să concepeți un plan de securitate, există câteva întrebări importante pe care trebuie să vi le puneți și care formează un proces denumit evaluarea riscurilor. Răspunsul la aceste întrebări ajută organizația dvs. să înțeleagă amenințările unice cu care vă confruntați și vă permite să vă gândiți bine la ce trebuie să protejați și de cine trebuie să vă protejați. Evaluatori calificați, ajutați de sisteme precum SAFETAG de la Internews, vă pot ghida organizația în cursul unui asemenea proces. Dacă puteți obține acces la acest nivel de experiență profesională, merită din plin, însă dacă nu puteți trece printr-o evaluare completă, vă recomandăm să vizitați organizația și să luați în considerare aceste întrebări cheie:
Ce active deține organizația dvs. pe care doriți să le protejați?
Puteți începe să răspundeți la aceste întrebări creând un catalog cu toate activele organizației dvs.. Informațiile precum mesajele, e-mailurile, contactele, documentele, calendarele și locațiile sunt toate posibile active. Telefoanele, computerele și alte dispozitive pot fi active. Iar oamenii, cunoscuții și relațiile pot fi, la rândul lor, active. Faceți o listă a activelor dvs. și încercați să le catalogați în funcție de importanța pe care o au pentru organizație, de locul în care le țineți (de pildă, mai multe locații digitale sau fizice) și de ceea ce îi împiedică pe alții să le acceseze, deterioreze sau distrugă. Rețineți, nu toate sunt la fel de importante. Dacă unele date ale organizației dvs. sunt înregistrări publice sau informații pe care deja le-ați publicat, acestea nu mai sunt secrete pe care trebuie să le protejați.
Cine sunt adversarii dvs. și care le sunt capabilitățile și motivațiile?
„Adversar” este un termen utilizat frecvent în securitatea la nivel de organizații. În termeni simpli, adversarii sunt actori (fizice sau grupări) care sunt interesați să vă țintească organizația, perturbându-vă activitatea și obținând acces la sau distrugându-vă informațiile; răufăcătorii. Printre potențialii adversari întâlnim escrocii financiari, concurenții, autoritățile locale sau naționale sau guvernele, ori hackeri motivați ideologic sau politic. Este important să faceți o listă a adversarilor dvs. și să vă gândiți critic la cine s-ar putea să vrea să vă afecteze negativ organizația și personalul. Cu toate că e ușor să ne imaginăm actorii externi (precum guverne străine sau un anume grup politic) ca fiind adversari, luați totuși în considerare și faptul că adversari pot fi și persoane pe care le cunoașteți, precum angajați nemulțumiți, foști angajați și rude sau parteneri care nu vă înțeleg. Diferiții adversari reprezintă diferite amenințări și dețin resurse diferite și capacități de a vă perturba activitatea și a obține acces sau a vă distruge informațiile. De exemplu, guvernele au adesea mulți bani și capacități puternice, inclusiv întreruperea internetului sau utilizarea de tehnologii de supraveghere costisitoare; rețelele mobile și furnizorii de internet au probabil acces la înregistrările apelurilor dvs. și la istoricul browserelor; hackerii pricepuți la rețele Wi Fi au abilitatea de a intercepta comunicările sau tranzacțiile financiare slab securizate. Puteți deveni chiar propriul adversar, de pildă, ștergând accidental fișiere importante sau trimițând mesaje private persoanei greșite.
Motivele adversarilor ar putea diferi în funcție de capacitatea, interesele și strategiile acestora. Sunt interesați să vă discrediteze organizația? Poate intenția lor este să vă înăbușe mesajele? Sau poate vă văd organizația drept concurentă și vor să câștige un avantaj? Este important să înțelegeți motivația adversarului, pentru că procedând astfel veți putea ajuta organizația să evalueze mai bine amenințările la care se expune.
Cu ce amenințări se confruntă organizația dvs.? Și care este probabilitatea să devină reale și ce impact ar avea?
Când identificați posibilele amenințări, s-ar putea să obțineți o listă lungă care ar putea fi copleșitoare. Ați putea avea senzația că eforturile dvs. sunt inutile sau să nu știți de unde să începeți. Pentru a ajuta organizația să stabilească următorii pași productivi, este util să analizați fiecare amenințare în funcție de doi factori: probabilitatea ca amenințarea să aibă loc; și impactul dacă se întâmplă acest lucru.
Pentru a măsura probabilitatea amenințării („mică, medie sau mare”) în funcție de probabilitatea întâmplării unui eveniment - puțin probabil, probabil sau se întâmplă des - puteți folosi informațiile pe care le cunoașteți despre capacitatea și motivația adversarilor, analize ale incidentelor de securitate anterioare, experiențele altor organizații similare și, desigur, prezența oricăror strategii de diminuare a riscurilor pe care le-a implementat organizația dvs.
Pentru a măsura impactul unei amenințări, gândiți-vă cum ar arăta lumea dvs. dacă amenințarea ar deveni reală. Puneți-vă întrebări precum „Cum a afectat amenințarea organizația în sine și pe oamenii noștri, fizic și mental?”, „Cât va dura efectul?”, „Va crea alte situații dăunătoare?” și „Cum ne limitează abilitatea de a atinge obiectivele organizației, acum și pe viitor?” Când răspundeți la aceste întrebări, luați în considerare dacă impactul amenințării este mic, mediu sau ridicat.
Pentru a vă ajuta în procesul de evaluare a riscurilor, folosiți o fișă de lucru, precum aceasta dezvoltată de Electronic Frontier Foundation. Nu uitați că informațiile pe care le obțineți ca parte a acestui proces (precum o listă a adversarilor și a amenințărilor pe care le prezintă aceștia) pot fi sensibile, prin urmare este important să le mențineți în siguranță.
După ce ați clasificat amenințările în funcție de probabilitate și impact, puteți începe să concepeți un plan de acțiune mai informat. Concentrându-vă pe amenințările care au cel mai înalt grad de probabilitate să devină reale ȘI care ar avea un impact negativ semnificativ, vă veți canaliza resursele limitate în cel mai eficient mod posibil. Scopul dvs. este să diminuați cât mai mult riscurile, însă nimeni – nici măcar guvernul sau compania care dispune de cele mai multe resurse din lume – nu poate elimina complet riscurile. Și este în regulă: puteți face multe să vă protejați pe dvs., pe colegii dvs. și să vă protejați organizația concentrându-vă pe cele mai mari amenințări.