Według ankiety przeprowadzonej przez G DATA CyberDefense, prawie jedna piąta wszystkich decydentów w małych firmach jest zdania, że ich pracownicy mogą się obejść bez szkolenia z zakresu bezpieczeństwa IT. Natomiast żaden z ankietowanych managerów z dużych firm nie podziela tego poglądu. Jak może dojść do tak odmiennej oceny sytuacji zagrożenia?
Małe firmy zbyt często polegają na swoim szczęściu: „Jak dotąd nic mi się nie stało”
Im mniejsza firma, tym mniej pracowników codziennie otrzymuje i wysyła dane oraz e-maile – logiczne. Niższa częstotliwość wymiany danych w naturalny sposób wpływa również na statystyczne prawdopodobieństwo ataku cybernetycznego. Skutkuje to fatalnym poczuciem bezpieczeństwa, które prowadzi do niedoszacowania rzeczywistego ryzyka. Wynika to z efektu psychologicznego, tak zwanej „stronniczości”, i może prowadzić do nieuniknionych błędnych decyzji. Statystycznie rzecz biorąc, każdy pojedynczy pracownik małej firmy ma takie samo ryzyko zostania wykorzystanym przez e-mail phishingowy, jak kolega z pracy w dużej, globalnej firmie. Prawdopodobieństwo jest jeszcze większe, ponieważ kolega z dużej korporacji regularnie uczestniczy w szkoleniach z zakresu bezpieczeństwa.
Małe firmy mają małe działy IT – gdy pojawia się incydent, zwykle oznacza to duże problemy
Ci, którzy uważają się za bezpiecznych, nie tylko inwestują mniej w profilaktykę, ale zwykle nie mają też planu na wypadek sytuacji awaryjnej. W przypadku pożaru, szkody mogą szybko przybrać rozmiary zagrażające istnieniu firmy. Na przykład ogromne znaczenie ma to, czy można zachować system wczesnego ostrzegania lub kopię zapasową danych podczas i po cyberataku. Jednak w firmach z niewielką liczbą pracowników często jest tylko jeden menedżer IT, który spędza większość dnia na zarządzaniu dostępem lub rozwiązywaniu codziennych problemów związanych z operacjami IT. Jeśli okoliczności stają się trudne, wyjątkowa sytuacja szybko przytłacza jednego eksperta IT. Dla małych i średnich firm tym ważniejsze jest, aby wszyscy pracownicy podążali w tym samym kierunku i byli wyposażeni w niezbędną wiedzę o aktualnym zagrożeniu w Internecie.
Niewyszkolony pracownik jest głównym wektorem cyberataków – wyszkolony pracownik to najsilniejszy sprzymierzeniec w walce z cyberprzestępcami
Zawsze trudno jest zrozumieć korzyści wynikające ze środków bezpieczeństwa. W końcu nic się nie dzieje. Żeby tak pozostało w przyszłości pracownicy powinni przechodzić regularne szkolenia przygotowujące ich do niebezpieczeństw czających się w Internecie w postaci wiadomości e-mail typu phishing, złośliwego oprogramowania i inżynierii społecznej.
