Rizika spojená se zaměstnanci: Jak posílit bezpečnostní IT návyky
Nastínili jsme vám způsoby, jak udržet týmy v souladu s požadavky kybernetické bezpečnosti – od přísnějších zásad po častější testování.
Lidské chyby se nevyhýbají žádnému podniku. Ať už ve spěchu zpracováváte soudní dokumenty, ve škole aktualizujete plán výuky nebo třeba posíláte e-mailem dokumenty o restrukturalizaci podniku - všichni jsme náchylní občas udělat chybu chybám. Jak jsme však nedávno uvedli, chyby zaměstnanců (známé také jako vnitřní hrozba) mohou vést k závažným únikům dat se škodlivými důsledky jak pro firmu, tak potenciálně i pro zákazníky, které obsluhujete.
Naštěstí máme dnes všichni přístup k nejnovějším technologiím, které při správném nastavení nabízejí další úrovně obrany našeho zabezpečení. Kromě technologií by však malé a střední podniky (MSP) měly myslet i na to, jak jsou jejich zaměstnanci poučeni o rizicích kybernetické bezpečnosti, a pokud možno podporovat bezpečné chování v oblasti IT. Provedli jsme průzkum mezi 5 770 osobami s rozhodovací pravomocí v oblasti IT z malých a středních podniků v celé Evropě a třetina z nich (28 %) uvedla jako důvod zvýšených obav o bezpečnost IT nedostatečné znalosti nebo školení zaměstnanců.
Než se blíže seznámíme se způsoby, jak můžete podpořit bezpečné chování v oblasti IT, pojďme se podívat na to, proč mohou někteří zaměstnanci představovat pravděpodobnější vnitřní hrozbu než jiní.
Škála zaměstnaneckých rizik
K bezpečnému chování v oblasti IT přispívají vaše stávající postupy školení o kybernetické bezpečnosti a obecně také svědomitost zaměstnanců. Někteří zaměstnanci však představují větší riziko. Smluvní partneři nemusí být tak dobře seznámeni s bezpečnostními zásadami podniku jako stálí zaměstnanci, a proto nemusí znát všechny nejnovější povinnosti. Noví zaměstnanci, kteří si teprve zvykají na více systémů nebo procházejí e-maily od odesílatelů, jejichž jména si ještě nezapamatovali, se mohou také stát terčem útoků.
Hybridní způsob práce taktéž představuje riziko. Jsou týmy neustále na cestách nebo někteří jednotlivci často pracují v místní kavárně? Připojení k externím sítím a práce ve veřejných prostorách mohou být v rozporu se standardními bezpečnostními postupy. Jak tedy zajistit, aby všichni ve vaší firmě byli v souladu s požadavky bezpečného chování v oblasti IT?
Nejlepší tipy pro podporu bezpečného chování v oblasti IT
Zaměřte se na vzdělávání v kybernetické bezpečnosti
O míře rizika musí mít povědomí všichni zaměstnanci, od interních pracovníků v kancelářích až po ty, kteří přepravují zboží na místo a z místa. Do firemních systémů může například proniknout škodlivý software, který zastaví provoz – a zaměstnanci nemusí vědět, že stahování externího softwaru může kybernetickým zločincům umožnit přístup do firemních systémů.
Zaměstnanci a smluvní partneři by měli vědět, jak rozpoznat phishingové útoky. Pokud zaměstnanec znenadání obdrží naléhavou žádost o osobní údaje nebo instrukce, aby kontaktoval odesílatele prostřednictvím telefonátu nebo okamžité zprávy, mělo by to okamžitě vzbudit podezření. Zaměstnanci by měli být pravidelně školeni, jak tyto incidenty identifikovat a reagovat na ně – včetně toho, jak analyzovat adresu nebo číslo odesílatele a automaticky je nahlásit IT oddělení. Součástí školení by měly být také simulované testy phishingových a malwarových útoků, které ukazují, jak snadno se zaměstnanec může stát terčem útoku a jak je k němu náchylný.
Kromě phishingových útoků by se bezpečnostní školení zaměstnanců měla zabývat tématy, jako jsou smishingové útoky (klamné textové zprávy), útoky sociálního inženýrství, používání sociálních médií, bezpečné sdílení souborů a bezpečné prohlížení internetu.
Důsledně dodržujte zásady kybernetické bezpečnosti
Stojí za povšimnutí, že 74% případů narušení bezpečnosti dat je údajně způsobeno lidským faktorem. Z dotazovaných vedoucích pracovníků IT se třetina (30%) nyní více obává bezpečnostních technologických rizik z důvodu hybridního způsobu práce. Je proto důležitější než kdykoli předtím zavést důkladné zásady kybernetické bezpečnosti s pevnou a transparentní komunikací napříč strukturou podniku.
To zahrnuje zajištění toho, aby zaměstnanci věděli, jak správně používat firemní zařízení a systémy. Náš průzkum došel k znepokojivému zjištění, že tři čtvrtiny (76%) malých a středních podniků se v rámci bezpečnostního školení nezabývají používáním tiskáren nebo skenerů, přestože je důležité proškolit zaměstnance, jak tato zařízení bezpečně používat.
Zásady kybernetické bezpečnosti by také měly obsahovat jasné pokyny pro používání veřejných sítí Wi-Fi. Nezabezpečená připojení totiž mohou vést ke škodlivým útokům malwaru a zaměstnanec, který se přihlásí, aby odeslal několik rychlých e-mailů, může také omylem způsobit škodu.
Kromě toho by vaše zásady měly podporovat zaměstnance v používání firemních sítí VPN a v nastavení vícefaktorového ověřování (MFA) pro další úroveň identifikace při přihlašování. Navíc by měly zásady varovat před přístupem k pracovním platformám prostřednictvím osobních zařízení a připomínat zaměstnancům, aby nikdy nesdíleli hesla.
Zajímejte se o rizika spojená s zaměstnanci
Nic z výše uvedeného nelze účinně uskutečnit, pokud tvůrci zásad a samotná oddělení IT nejsou dostatečně informováni o nejnovějších rizicích. Potenciální hrozby, jako jsou noví nebo odcházející zaměstnanci, nejsou samozřejmě žádnou novinkou. Je však důležité mít přehled o nových hrozbách, jako je spolupráce s novými dodavateli nebo používání neregulovaných aplikací třetích stran zaměstnanci.
Vedoucí pracovníci by zároveň měli podporovat pracovní prostředí, ve kterém mohou i samotní zaměstnanci IT absolvovat školení v oblasti kybernetické bezpečnosti. Zaměstnanci by také měli být podporováni v tom, aby se dotazovali na jakékoli bezpečnostní problémy nebo je hlásili, aby tyto problémy mohly být eskalovány, protože to může přispět k obecnému povědomí o typech hrozeb, na které je třeba dávat pozor.
Pracovní síly se znalostí rizik s podporou technologií
Zabezpečení IT je jen tak efektivní, jak efektivní jsou vaši lidé. Vedoucí pracovníci podniků a IT odborníci by však měli věnovat velkou pozornost tomu, jak mohou technologie podpořit pracovníky při prevenci lidských chyb.
Třetina vedoucích pracovníků IT si totiž není příliš jistá (14%) nebo si není jistá (15%), zdali mají zaměstnanci o bezpečnostních rizicích v oblasti IT dostatečné znalosti. Ale nemusí tomu tak být. Pokud se budete řídit našimi doporučeními, mohou zaměstnanci a smluvní partneři rozšířit své znalosti o povaze rizik a důsledcích svého jednání. Jako další úroveň podpory nabízí společnost Sharp ucelenou řadu bezpečnostních řešení a služeb na míru, které chrání malé a střední podniky před lidskými chybami.
Zjistěte více informací o bezpečnostních řešeních a službách společnosti Sharp