Prečo sa v rámci kybernetickej bezpečnosti treba zamerať na zamestnancov?

10. marca 2021

Kybernetické hrozby sú neustálym rizikom pre všetky podniky a zamestnávatelia si často neuvedomujú, že rizikom sú aj ich zamestnanci.

Antivírusový softvér, brány firewall, šifrovanie údajov – toto sú len niektoré bezpečnostné riešenia pre väčšinu organizácií. Každé je navrhnuté tak, aby zabránilo v prístupe k systémom organizácie. Nepomôžu však pri najväčšej slabine zabezpečenia – vlastných ľuďoch.

Skúsenosti opakovane ukazujú, že najzávažnejšie porušovania ochrany osobných údajov sa dejú práve prostredníctvom nedbanlivých alebo zlomyseľných zamestnancov. Tí sú väčším nebezpečím pre organizácie ako kybernetické útoky vedené z vonkajšieho prostredia. Úspešný prienik do infraštruktúry spoločnosti či porušenie ochrany osobných údajov môže byť spôsobený nevinnou chybou zamestnanca, alebo jeho zlým úmyslom. Akýkoľvek z týchto dvoch dôvodov však môže byť pre organizáciu veľmi nákladný a môže mať za následok prienik do infraštruktúry organizácie, vymazanie dôležitých či kritických údajov a systémov, podvody, či krádež duševného vlastníctva. Preto je kybernetická bezpečnosť na pracovisku čoraz dôležitejšia. To aj z dôvodu vplyvu, ktorý môže mať na všetky aspekty podnikania, od bezpečného uchovávania informácií až po predchádzanie únikom údajov ale aj reputácie spoločnosti. Vykonávanie preventívnych opatrení je preto dôležité k minimalizácií rizika, ktoré zamestnanci vytvárajú.

Nedostatočná pozornosť venovaná kybernetickej bezpečnosti môže byť spôsobená mylným vnímaním, že riziká kybernetickej bezpečnosti sú externou hrozbou, zatiaľ čo bezpečnosť je riadená interne. Tento predpoklad je priamou hrozbou pre bezpečnosť, pretože kybernetické útoky môžu často využívať vnútorné zraniteľnosti. Riešenie bezpečnosti teda naráža na fakt, že zamestnanci na rôznych pozíciách a úrovniach majú potenciál priamo ovplyvňovať bezpečnosť údajov a v konečnom dôsledku aj bezpečnosť organizácie.

Stratégia kybernetickej bezpečnosti

V dnešnej dobe sú organizácie viac ako kedykoľvek pred tým závislé od technológie, k tomu aby svoju prácu mohli vykonávať. Toto digitálne prostredie vyžaduje, aby sa organizácie chránili dobre naplánovanou a najmä vykonávanou stratégiou kybernetickej bezpečnosti. S neustálym nárastom kybernetických útokov a ich dopadov je nevyhnutné aby organizácie urobili z kybernetickej bezpečnosti najvyššiu prioritu, ktorá začína dobre vyškolenými používateľmi systému.

Zosúladenie preventívnych opatrení so stratégiou kybernetickej bezpečnosti môže byť jedným z najjasnejších spôsobov ako vniesť do organizácie kultúru kybernetickej bezpečnosti a tým výrazne minimalizovať riziká.

Účinná stratégia kybernetickej bezpečnosti musí preto zahŕňať príslušné opatrenia na udržanie základnej úrovne bezpečnosti a monitorovací systém zameraný na hľadanie pokusov o porušenie tejto politiky. Systém by mal byť podložený najmä pravidelnými školeniami pre zamestnancov.

V najlepšom záujme všetkých podnikateľov, manažérov alebo vedenia je zabezpečovať, aby zamestnanci mali všetky vedomosti, povedomie a zručnosti potrebné na ochranu spoločnosti pred kybernetickými útokmi a narušením údajov. To zahŕňa neustále a pravidelne opakované bezpečnostné vzdelávanie zamestnancov vrátane IT pracovníkov. Vzdelávanie by malo obsahovať aj školenie pre každý proces, ktorý je určený na ochranu bežných hrozieb. Rovnako ako aj podvodných postupov, ktoré sú hrozbami pre systém a ochranu proti kybernetickým zločincom, ktorí používajú širokú škálu taktík. Tí sa zameriavajú na zamestnancov napríklad prostredníctvom phishingu, telefonických hovorov a dokonca aj sociálnych sietí. Kľúčovou je preto pravidelnosť preškoľovania zamestnancov a je vhodné doplniť ju o praktickú formu vzdelávania.

Preto je na mieste poučiť svojich zamestnancov o dôležitosti zabezpečenia pre vašu spoločnosť, vašich zákazníkov a vašu reputáciu a ich úlohe pri ochrane údajov vašej spoločnosti. Ale aj o možných dôsledkoch úspešných útokov na vašu spoločnosť. Bezpečnosť vášho pracoviska závisí od ich vedomostí, bdelosti a aktívnej účasti v boji proti rizikám.

Rady a typy pre lepšiu bezpečnosť

Vaša kybernetická bezpečnosť je iba taká silná ako jej najslabší článok v reťazci. Preto pravidelne škoľte svoj tím o najnovších osvedčených postupoch v oblasti IT. Pomôžte im pochopiť, že ich úsilie je rozhodujúce pre ochranu majetku organizácie a že je v ich najlepšom záujme zvýšiť si vedomostnú základňu IT bez ohľadu na to, či sú vývojárom softvéru, právnikom, sekretárkou, obchodníkom alebo marketingovým špecialistom.

Stanovte základné bezpečnostné postupy na ochranu citlivých obchodných informácií a pravidelne ich oznamujte všetkým zamestnancom. Stanovte pravidlá správania popisujúce, ako zaobchádzať a chrániť informácie o zákazníkoch a ďalšie dôležité údaje.

Nezabudnite teda na dobré politiky ale aj na zabezpečenie služobných zariadení vašich zamestnancov (resp. všetkých zariadení, ktoré majú do vašej infraštruktúry prístup – aj súkromné):

Vytvorte politiku, ktorá objasní, aké pracovné činnosti zamestnanec môže alebo nemôže vykonávať vzhľadom na svoje pracovné zaradenie k akým dátam môže alebo nemôže mať prístup
Nainštalujte a vyžadujte používanie antivírusového a antimalvérového softvéru na všetky používané zariadenia a pravidelne aktualizujte, prípadne nastavte automatické aktualizácie.
Vynucujte integrované ovládacie prvky zabezpečenia zariadenia, ako sú uzamknuté obrazovky a schopnosť vymazať zariadenie (aj súkromné) po určitom počte neúspešných pokusov o prihlásenie.
Vyžadujte úplné šifrovanie disku v zariadeniach a na vymeniteľných médiách, ako sú USB flash disky. Tieto kroky zabráni zlodejom v možnosti čítať údaje v prípade straty alebo krádeže zariadenia.
Vyžadujte od zamestnancov, aby okamžite hlásili stratené alebo odcudzené zariadenia.
Monitorujte svojich zamestnancov.

Pri prijímaní do zamestnania starostlivo vyberajte kandidátov, aby ste identifikovali tých, ktorí môžu mať potenciálny škodlivý úmysel. Pre vašich zamestnancov používajte technologické nástroje na monitorovanie ich každodenných aktivít online, najmä pre tých, ktorí majú prístup k citlivým informáciám, ako sú osobné alebo finančné údaje, platobné karty alebo lekárske záznamy. Toto je uznávaný postup na ochranu aktív akejkoľvek organizácie alebo spoločnosti. Kvôli transparentnosti sa však odporúča vytvoriť písomné zásady pre vaše kontrolné a monitorovacie mechanizmy o ktorých musia byť zamestnanci vopred informovaní.

Neposkytujte žiadnemu zamestnancovi prístup do všetkých dátových systémov. Zamestnancom by mal byť poskytnutý prístup iba k špecifickým dátovým systémom, ktoré nevyhnutne potrebujú pre svoju prácu a v prípade jeho odcudzenia by malo byť jednoduché zistiť kto mal k daným dátam prístup. Rovnako by zamestnanci nemali mať možnosť inštalovať žiadny softvér na pracovné stanice na základe vlastného rozhodnutia.

Vzdialení pracovníci

V neposlednom rade treba dbať na vzdialených pracovníkov, ktorí sa musia obmedziť na domáce alebo iné zabezpečené siete. Udržiavať svoj domáci pracovný priestor rovnako bezpečný ako v bežnej kancelárii (toto je prakticky nemožné) a zaistenie toho, aby citlivé dokumenty a súbory zostali dôverné, je hlavnou úlohou, s ktorou sa musia vzdialení pracovníci vysporiadať hneď na začiatku.

Treba mať na pamäti, že prenosné zariadenia ako notebooky, smartphony a tablety sú však náchylné na kybernetické útoky rovnako ako kancelárske počítače. Preto ak vedenie organizácií umožňuje zamestnancom používať služobné zariadenia na prácu z domu aj na cestách alebo aj súkromných zariadení na to isté je dôležité aby organizácia mala jasné pravidlá prístupu do firemnej siete pre všetky zariadenia bez ohľadu na to, odkiaľ sa zamestnanec pripája. Tieto pokyny a pravidlá by sa mali vynucovať vždy, ale stávajú sa mimoriadne dôležité pri práci na diaľku a pri pripájaní súkromných zariadení.

Všeobecne platí, že je lepšie problémom predchádzať ako neskôr pracovať na ich odstránení, ktoré by moli ohroziť vaše podnikanie.