E-kniha „NIS2 jednoduše“ – Opatření č. 3: Bezpečnost lidských zdrojů (7/12)
Aktualizováno: 20.11.2024
Vzdělávání jako prevence proti kybernetickým útokům: Jak strukturovaný přístup ke školení může zvýšit bezpečnostní povědomí ve vaší organizaci.
K předchozí kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 2: Ukotvení IT bezpečnosti (6/12)
Obecně
Nejslabším článkem kybernetické bezpečnosti je člověk, a tohoto faktoru je často využito k proniknutí do sítí organizace. Zaměstnanci se stávají cílem phishingových útoků a různě nastražených malwarů. Proto je nezbytné klíčové zaměstnance vzdělávat a školit. Organizujte pravidelná školení, na kterých se zaměstnanci naučí rozpoznávat kybernetické nebezpečí, jak jim předcházet a komu podezření na nebezpečí hlásit. Kombinujte online kurzy s fyzickými workshopy a použijte i reálné příběhy a studie případů jako varování.
Školte pravidelně i management a garanty aktiv. Procházejte hrozby vaší společnosti a diskutujte o různých pohledech na věc. Jen to vás může všechny posunout dále.
Vzdělávejte i vaše IT např. cvičením simulovaného incidentu „na papíře“, kdy dopředu existuje scénář, co se přesně stalo a skupina prochází postupně dějem.
Pro garanty
Uživatelé
- Vytvořte vnitřní předpis stanovující bezpečné chování uživatelů na přidělených prostředcích
- Zajistěte vstupní školení zaměstnanců v oblasti kybernetické bezpečnosti včetně hlášení problémů a incidentů
- Zajistěte pravidelné vzdělávání uživatelské bezpečnosti
Garanti a managment
- Vytvořte vnitřní předpis pro garanty
- Zajistěte pravidelné vzdělávání garantů a managementu o kybernetické bezpečnosti včetně nových hrozeb, trendů
IT
- Vytvořte vnitřní předpis pro IT
- Zajistěte vzdělávání IT administrátorů a podpory (vzdělávání, certifikace, kurzy)
- Navrhněte cvičení IT při simulovaném incidentu (detekce, reakce, záznam, doplnění a aktualizace postupů)
Typické nedostatky ve firmách
Některé firmy se spoléhají na občasné zasílání ukázek podvodných e-mailů jako formu školení. Tento přístup však často selhává, protože zaměstnanci těmto e-mailům nevěnují dostatek pozornosti. Efektivnější je kombinovat online a prezenční školení a pravidelně testovat zaměstnance skrze phishingové e-maily.
Mnoho firem má IT předpisy pro uživatele, které mohou mít i více než 20 stran. Takovou porci žádný uživatel nepřečte s dostatečným porozuměním. Zjednodušte, zkraťte, případně udělejte shrnutí toho nejzásadnějšího na jednu stránku nebo do heslovité prezentace.
Vzdělávání garantů a diskuse o bezpečnosti je bohužel skoro tabu. Řada lidí se bojí toho, že neznají vše do detailu a budou nachytáni.
IT sice chodí na kurzy a nezbytné certifikace platforem, ale podceňované je praktické vyzkoušení užitých opatření. Velmi jednoduché a přitom efektivní je např. simulovaný incident (na papíře). Tyto simulace poskytují přehled o potřebných činnostech, a hlavně jejich přibližném časovém rozsahu.
Tento článek je součástí e-knihy „NIS2 jednoduše“, kterou si celou můžete stáhnout zde.
K další kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 4: Identity a přístupy (8/12)