Security awareness nije kontrola: drugačiji pogled na ljudski rizik u bezbednosti
Autor tvrdi da security awareness trening ne treba tretirati kao bezbednosnu kontrolu, već kao obrazovnu meru koja može da utiče na kulturu, ali ne može da garantuje ishod. Tekst podseća da pravi kontrolni mehanizmi smanjuju ili ograničavaju štetu bez oslanjanja na to da će pojedinac uvek doneti ispravnu odluku pod pritiskom. Kao odgovor na phishing, BEC i krađu kredencijala, članak zagovara jače strukturne mere, kao što su conditional access, segmentacija, provera van glavnog kanala, segregacija dužnosti i bolji nadzor nad identitetima i sesijama.
U praksi se ovde otvara neprijatno pitanje: da li firma zaista smanjuje rizik ili samo uči ljude da budu pažljiviji u sistemu koji i dalje lako puca na jednu grešku. Kada jedan klik, jedan odobren zahtev ili jedna loša procena mogu da proizvedu ozbiljnu štetu, problem više nije u čoveku nego u tome kako je ceo proces postavljen.
- Ne tretirati awareness trening kao glavnu odbranu od phishing i BEC napada
- Uvesti obaveznu proveru van glavnog kanala za promene plaćanja i hitne finansijske zahteve
- Pojačati identity kontrole kroz phishing-resistant autentikaciju i nadzor sesija
- Ograničiti privilegije i uvesti vremenski ograničen administrativni pristup
- Analizirati koje pojedinačne odluke u organizaciji mogu same da izazovu veliku štetu