Image
6.11.2016 0 Comments

Ako v práci vytvoriť kultúru kybernetickej bezpečnosti

Kultúra bezpečnosti je jedna z tých neviditeľných vecí, ktoré môžu vašej spoločnosti výrazne prospieť. Akékoľvek množstvo pravidiel alebo technických kontrol nezabráni porušeniu bezpečnosti, ak nemáte na svojej strane zamestnancov. Pravidlá možno ignorovať a žiadne technické kontroly nie sú dokonalé. Ešte horšie však je, že výrazným sprísnením kontrol bez toho, aby ste si získali srdcia aj mysle pracovníkov, jednoducho vytvoríte tieňové IT, kde zamestnanci budú pri práci pre spoločnosť obchádzať zavedené zásady bezpečnosti informačných technológií využitím služieb, ako je napr. osobný e-mail a zdieľanie súborov na cloudoch.  Aj naďalej tak budete vystavení rovnakým rizikám, budú však náročnejšie na  vyčíslenie a ešte viac na riešenie. Akým spôsobom teda vzbudiť záujem zamestnancov a zapojiť ich do zaistenia bezpečnosti? Ponúkame niekoľko tipov.

1. Zreálnite kybernetické hrozby

Zatiaľ čo najnovší vyspelý útok na celoštátnej úrovni sa postará o senzačné novinové titulky, oveľa pravdepodobnejšie je, že cieľom nejakej kriminálnej organizácie sa stane malá či stredne veľká spoločnosť. Existujú hrozivé štatistiky, ktoré uvádzajú straty v dôsledku prelomenia dátovej bezpečnosti spoločností – konkrétne príklady z tejto oblasti vám pomôžu získať vedúcich pracovníkov na vašu stranu. Keď však budete apelovať na radových zamestnancov, oplatí sa poukázať na riziká, ktoré súvisia priamo s ich pozíciou. Napríklad pracovníkov vášho finančného oddelenia bude oveľa viac zaujímať príbeh podvodu, týkajúci sa generálneho riaditeľa, než príbeh o tom, ako sa cieľom kybernetického útoku stali správcovia IT systémov. Tento prístup vyžaduje určitý čas – bude treba na mieru upraviť informácie pre každé oddelenie, z dlhodobej perspektívy sa to však oplatí, pretože nepôjde iba o správu „od nejakého chlapíka z IT oddelenia“. Ešte lepšie bude, ak venujete čas osobnému stretnutiu s vaším finančným riaditeľom, aby ste ho získali pre svoju vec a požiadali ho, aby na túto tému prehovoril na schôdzach tímu aj inde.

2. Večná téma bezpečnosti

Hoci neustály prúd správ o spoločnostiach, ktoré sa stali obeťami kybernetického útoku, môže byť deprimujúce čítanie, môže vám to aj pomôcť. Je iba otázkou času, kedy sa objaví ďalší relevantný prípad. Využite každú dostupnú príležitosť a neustále o tejto problematike informujte kľúčových pracovníkov. Ak budete mať problém vyhľadať v množstve správ relevantné informácie, vytvorte si konkrétne upozornenia obsahujúce kľúčové slová súvisiace s vaším odvetvím alebo oblasťou. Spravodajské podcasty sú ďalšia skvelá možnosť, ako si udržať prehľad o najnovšom dianí.

3. Propagujte, propagujte, propagujte!

Toto je oblasť, v ktorej pracovníci zaoberajúci sa technickou bezpečnosťou spravidla nie sú príliš zdatní. Zdroje informácií, ktorým vy venujete pozornosť, pravdepodobne nebudú tie isté, ktoré oslovia menej technicky zdatných pracovníkov. Ak má vaša spoločnosť vlastné marketingové oddelenie, môže vám pomôcť vytvoriť dobre zapamätateľné a profesionálne materiály (plagáty, samolepky, antistresové loptičky a pod.). Platí však, že túto činnosť musíte opakovať donekonečna – tak zaistíte neustály dôraz na nezvyčajné nápady, s ktorými vám môže pomôcť niekto zvonku. Existuje niekoľko spoločností špecializujúcich sa na osvetové programy zamerané na bezpečnosť informácií, ktoré za vynaložené peniaze vykonajú dobrú prácu.

4. Meranie a vyvodenie dôsledkov

Staré klišé „čo sa dá merať, dá sa aj riadiť“ v tomto prípade stopercentne platí. Ak sa vaša osvetová kampaň bude zaoberať hrozbou phishingu (určite by mala), uskutočnite kontrolovanú analýzu, ktorá zistí zraniteľnosť vašej spoločnosti týmito typmi útokov. Potom analýzu periodicky opakujte, aby ste zistili prípadné zlepšenie. Tak posúdite nielen účinnosť vašich osvetových materiálov, ale testovanie a informovanie pracovníkov, ktorí testom neprešli, dodá vašim informáciám na dôležitosti. Ešte lepšie bude, ak získate súhlas s miernym potrestaním prípadného zlyhania – k pokroku dôjde pravdepodobne oveľa rýchlejšie. Trest môže mať podobu povinného školenia, prípadne zverejnenia mena a previnenia dotyčného pracovníka. Opäť platí, že ak nebudete schopní realizovať tento plán svojpomocne, existujú externé spoločnosti, ktoré vám so školením pomôžu. Pri posudzovaní činnosti pracovníkov je veľmi dôležité zaistiť, aby byli najskôr dostatočne informovaní a preškolení – nemožno očakávať, že si ľudia všimnú phishingový útok, ak ste ich neinformovali, ako vyzerá. Je ľahké zabudnúť, že nie každý sa zaujíma o kybernetickú bezpečnosť.

5. Noví kolegovia

...alebo zamestnanci, ktorí v spoločnosti pracujú len krátko. Kvalitný postup informovania nových pracovníkov, ktorý už od samého začiatku stanoví ako jednu z priorít bezpečnosť informácií, začne po niekoľkých rokoch prinášať plody. Nezabudnite, že noví pracovníci budú pravdepodobne prvý deň v práci zahltení novými poznatkami, preto nie je vhodné zachádzať do podrobností. Využite každú príležitosť na kontakt, ktorú máte k dispozícii. Máte vytvorený informačný balíček pre nových pracovníkov? Môžete vytvoriť aj stránku o informačnej bezpečnosti. Pri prevzatí IT vybavenia môžete požiadať pracovníkov servisnej podpory, aby novým kolegom pripomenuli zásady bezpečnosti. Takisto môžete na pracovnú plochu umiestniť ikonu s odkazom na školiace materiály, prípadne vyskakovacie okno s upozornením pri prvom prihlásení do siete. Meraním nič nepokazíte, zvážte preto kvíz o znalosti zásad bezpečnosti, ktorý noví pracovníci vyplnia do 30 dní od nástupu do práce.

6. Teória rozbitého okna

Táto teória, ktorú vo svojom článku z roku 1982 po prvýkrát spomenuli bádatelia v sociálnej oblasti James Q. Wilson a George L. Kelling, tvrdí, že pozornosť venovaná drobným, zanedbateľným prehreškom pomáha vytvárať atmosféru zákona a poriadku a predchádza tak páchaniu väčších, závažnejších previnení. V oblasti bezpečnosti z toho vyplýva, že je žiaduce pristihnúť pracovníkov pri drobnom porušení pravidiel. Na túto činnosť budete takisto potrebovať spojencov. Prvé miesto, na ktoré sa môžete obrátiť, je IT oddelenie. Najmä pracovníci servisnej podpory môžu plniť funkciu vašich očí a uší: pokúste sa ich presvedčiť,  aby pripomínali bežným používateľom jednoduchú zásadu dodržovania pravidiel. Užitoční vám môžu byť aj pracovníci ostatných oddelení, ktorí budú obhajovať vlastnú informačnú bezpečnosť. Fungovať môžu aj motivačné programy.  

7. Komplexné bezpečnostné riešenie

Je lacnejšie investovať čas a peniaze do kvalitného komplexného bezpečnostného systému ako riešiť dôsledky kybernetického útoku a straty cenných firemných dát. Zvoľte kombinovanú ochranu, ktorá obsahuje antimalvér, antispam, ochranu webovej stránky, zabezpečenie dát,  cielenú ochranu proti kybernetickým útokom a ochranu e-mailovej pošty.

Václav Petrželka, Regional Account Manager pre Českú republiku a Slovensko, Trend Micro


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá