Kultúra kybernetickej bezpečnosti je dôležitá. Ako ju vybudovať?

16. októbra 2020

Každá organizácia je len tak bezpečná, ako je bezpečná jej najslabšia časť. Zo skúseností mnohých firiem vyplýva, že práve zamestnanci, či už radoví alebo zástupcovia vedenia, bývajú často tou najväčšou zraniteľnosťou.

Kybernetické útoky sú čoraz sofistikovanejšie a častejšie. Útočníci sa zameriavajú na spoločnosti bez rozdielu veľkosti a sektora, v ktorom pôsobia. Prioritou každej spoločnosti v dnešnej digitalizovanej dobe by preto mala byť kybernetická bezpečnosť a budovanie jej kultúry v organizácii. O to dôležitejšie je to v tejto dobe, keď čoraz viac zamestnancov kvôli celosvetovej pandémii koronavírusu pracuje z domu, čo stiera hranice medzi súkromným a osobným životom.

Aj napriek tomu, že každý zamestnanec by mal byť zodpovedný za ochranu dát a informácií spoločnosti, v ktorej pracuje, každá organizácia musí mať vytvorené vhodné podmienky na to, aby jednotliví zamestnanci mohli uplatňovať osvedčené postupy v oblasti kybernetickej bezpečnosti.

V rámci mesiaca kybernetickej bezpečnosti sme si pre vás v duchu tohto týždňovej témy „vytváranie kultúry kybernetickej bezpečnosti v pracovnom prostredí“ pripravili niekoľko rád, ako budovať kultúru kybernetickej bezpečnosti vo vašej organizácii.

Vzdelávanie ako súčasť pracovnej rutiny

Povedomie o rizikách kybernetického priestoru a spôsoboch, ako im predchádzať musí byť základnou súčasťou pracovného procesu. A to už pri nástupe nového zamestnanca. Všetci to dobre poznáme – prijímame nového zamestnanca, ktorého treba „preškoliť“. BOZP, ochrana pred požiarmi, základné školenia na používanie systémov a podobne. Základné školenie v oblasti kybernetickej bezpečnosti musí byť súčasťou tohto balíka. A nie len to. Pravidelné preškoľovanie všetkých zamestnancov – áno, aj manažérov – prispieva k šíreniu bezpečnostného povedomia a osvojovania si kultúry kybernetickej bezpečnosti na pracovisku. Vaši zamestnanci ocenia, že to s kybernetickou bezpečnosťou myslíte vážne. Ako bonus môžete určite počítať s menej kybernetickými bezpečnostnými incidentami, ktoré spôsobil človek svojou nevedomosťou.

Kreatívny tréning

Povedzme si to na rovinu – školenia môžu vašich zamestnancov pomerne nudiť. A keď zamestnanca téma nebaví, neosvojí si žiadne návyky, ako chrániť seba a organizáciu proti kybernetickým hrozbám. Dá sa tomu však vyhnúť – uchopte vzdelávanie v oblasti kybernetickej bezpečnosti ako hru. Table-top cvičenia, hravé tréningy či ukážky konkrétnych hrozieb dokážu zaujať a pre zamestnancov bude téma lepšie uchopiteľná. Výhodou je možnosť precvičiť svoje vlastné procesy a postupy do vnútra organizácie, ako aj priniesť zamestnancom zaujímavé spestrenie ich pracovného času. Cvičenia môžu byť napríklad ako súčasť teambuldingových aktivít. Spoločné bezpečnostné povedomie vedie nie len k lepšej ochrane organizácie, ale aj k stužovaniu pracovného tímu, čo zaručene povedie k lepším výsledkom.

Skúšky správnosti

Vzdelávať vašich zamestnancov je jedna vec – ako si však overíme, že si osvojili pravidlá bezpečnosti a naozaj ich aplikujú? Urobme si skúšku správnosti – pošlime všetkým alebo vybraným zamestnancom podozrivý mail a overme si ich reakcie. Alebo podhoďme USB kľúč na verejne prístupné miesto a sledujme, čo sa bude diať. Jedno veľké upozornenie – takáto aktivita musí byť kontrolovaná a následne aj vyhodnotená. Vďaka tomu budeme vedieť, v akej oblasti bezpečnosti máme zabrať.

Tematické školenia

Kybernetická bezpečnosť je veľmi širokou témou, ktorú nedokáže celú jeden človek uchopiť. Preto aj pravidelné školenia by mali obsahovať to najdôležitejšie minimum, čo si človek musí osvojiť. Dôležité však je, aby vaša organizácia dokázala reagovať aj v rámci kultúry kybernetickej bezpečnosti na nové hrozby. Tematické školenia, napríklad o rôznych formách phishingu alebo ransomvéri, určite pomôžu udržiavať vašich zamestnancov v strehu.

Hygiena nie len v kúpeľni

Základné zásady bezpečnosti svojim zamestnancom neustále opakujte. A to nie len na pravidelných školeniach. Využívajte aj iné nástroje – informačné plagátiky s grafickým znázornením bezpečnostných pravidiel, tabuľky upozorňujúce na hrozby, bezpečnostný newsletter…kybernetická hygiena by mala byť všadeprítomná. Vaši zamestnanci budú mať podprahovo stále pred očami pravidlá bezpečnosti.

Práca z domu

Kultúra kybernetickej bezpečnosti nezačína za dverami organizácie. Je prítomná aj mimo pracoviska, najmä ak vaši zamestnanci pracujú z domu alebo na služobnej ceste. Dbajte na to, aby dodržiavali bezpečnostné zásady aj mimo pracoviska. SK-CERT už v minulosti publikoval odporúčania pre zamestnávateľov, ako správne nastaviť prácu z domu (https://www.sk-cert.sk/sk/narodne-centrum-kybernetickej-bezpecnosti-sk-cert-odporuca-zamestnavatelom-ako-bezpecne-nastavit-pravidla-prace-z-domu/index.html). Pre zamestnancov sme takisto vytvorili súbor základných pravidiel (https://www.sk-cert.sk/sk/narodne-centrum-kybernetickej-bezpecnosti-sk-cert-odporuca-zamestnancom-ako-bezpecne-pracovat-pri-home-office/index.html)

Nezabúdajte na odborníkov

Špecialisti na kybernetickú bezpečnosť sú chrbtovou kosťou ochrany systémov a sietí vašej organizácie. Nepodceňujte ich motiváciu a ocenenie. Umožnite sa im vzdelávať, posielajte ich na odborné konferencie, komunikujte s nimi o ich potrebách. Investície do rozvoja týchto zamestnancov sa vám v budúcnosti zúročia. Napríklad už len tým, že budete mať dobrý tím, ktorý bude rozvíjať a zveľaďovať kultúru kybernetickej bezpečnosti vo vašej organizácii.

Záver

Zmena kultúry kybernetickej bezpečnosti v organizácii nie je jednoduchá. V skutočnosti nejde iba o aspekt povedomia o kybernetickej bezpečnosti. Ide o oveľa viac – pochopenie dôležitosti témy, motivácia a ochota zúčastňovať sa aktivít v tejto oblasti hrá hlavnú úlohu. Silná a odolná kultúra kybernetické bezpečnosti jednoznačne pomáha chrániť organizáciu pred kybernetickými hrozbami.

Rovnako si treba uvedomiť rozdiel medzi povedomím o bezpečnosti a kultúre bezpečnosti. Povedomie o bezpečnosti je znalosť a postoj, ktorý majú členovia organizácie k ochrane organizácie. Kultúra je hlbšia ako povedomie, keďže ide o zautomatizovaný proces. Tento cyklus by mal byť implementovaný a stať súčasťou každodenného života v organizácii prostredníctvom spolupráce všetkých osôb, od vedenia až po zamestnancov.