Zatajování bezpečnostních incidentů je běžné
Celosvětový průzkum „Lidský faktor v IT bezpečnosti: Jak zaměstnanci vystavují firmy riziku zevnitř“ před dvěma lety přišel se zjištěním, že pracovníci ze 40 % firem provedli něco, za co by jim zaměstnavatelé nepoděkovali. Způsobili bezpečnostní incident a navíc ho IT oddělení zatajili.
Z tohoto průzkumu firem Kaspersky Lab a B2B International plyne možná důležité doporučení. IT bezpečnostní oddělení by na problematiku zatajování bezpečnostních incidentů nemělo být samo. Do řešení by se měly zapojit všechny úrovně společnosti.
Přijde vám to přehnané? I přesto, že je malware kybernetickou hrozbou číslo jedna, lidský faktor v IT bezpečnosti bychom neměli ignorovat. Proč se vyplatí zapojit do IT bezpečnosti širší okruh lidí, než jen “ajťáky”? Protože skoro za polovinu, konkrétně 46 % všech IT bezpečnostních incidentů, mohou právě běžní pracovníci.
Unikátní malware či hi-tech technologie
Dalším důvodem pro zapojení více článků společnosti včetně HR oddělení a vyššího vedení je také fakt, že hackeři sice využívají speciálních malwarů nebo jiných vysoce vyvinutých technologií, narušit zabezpečení korporátní kyberbezpečnosti jim přesto zpočátku usnadňuje právě lidský činitel.
Zaměstnanci tak otevírají dveře IT bezpečnostním incidentům zejména kvůli slabým heslům, phishingovým e-mailům nebo ztraceným paměťovým kartám či flashkám k počítači. Dle společností Kaspersky Lab a B2B International navíc může za 53 % incidentů s malwarovými infekcemi neobezřetný zaměstnanec.
Neinformovanost, nebo malá obezřetnost?
Příčin může být několik. Někteří zaměstnanci jsou neinformovaní, jiní nejsou dostatečně obezřetní. Tzv. phishing, tedy otevření zpočátku nenápadně vypadajícího a maskovaného, leč škodlivého souboru, je za každým třetím (28 %) cíleným útokem na společnost.
Ať už se jedná o nedostatečnou edukaci nebo o neopatrnost, v každém případě může zaměstnanec firmu výrazně poškodit. Ohrožena je následně finanční i bezpečností stránka společnosti, ale také například její dlouho budovaná pověst.
Zapojte HR oddělení a nejvyšší management
Výše zmíněný vysoký počet zaměstnanců zatajujících IT bezpečnostní incidenty tak činí například proto, že se cítí trapně nebo se obávají, co by je mohlo potkat. A právě v tomto momentu by měli na scénu přijít pracovníci HR oddělení a vrcholoví manažeři.
Cíleně by se mělo pracovat na vytvářením firemní kultury, která nevyvolává v zaměstnancích pocit strachu. HR oddělení by měla rozhodnout o vhodném vzdělávání, tedy osvětě a pravidelných školení základů kybernetické bezpečnosti.
Pravidelné reporty neopatrných zaměstnanců mohou odstranit mnohá potenciální nebezpečí. Týmy, které mají na starost zabezpečení korporátní kyberbezpečnosti ocení, když se jim povede co nejdříve identifikovat hrozby, kterým čelí. Díky správnému postupu pak mohou kybernetický “úder” potlačit.
Další neméně šokující zjištění studie
Co dalšího vyplývá z celosvětového průzkumu „Lidský faktor v IT bezpečnosti: Jak zaměstnanci vystavují firmy riziku zevnitř“ společností Kaspersky Lab a B2B International?
Především z těchto dvou zjištění plyne, že společnosti by se měly snažit vytvořit firemní kulturu, která vede zaměstnance k větší opatrnosti. Pomoci mohou školení o kybernetické bezpečnosti a jasná pravidla společnosti. Pomůže i vytvoření vlídné pracovní atmosféry, umožňující zaměstnancům nahlásit IT bezpečností incidenty, aniž by se museli cítit provinile nebo zahanbeně. Následně se může IT oddělení plně soustředit na to, aby byla data společnosti v bezpečí.
Naše společnost NGSS pomáhá firmám vytvořit bezpečnostní strategii, která nejvíc vyhovuje jejich potřebám. Pro naše klienty připravujeme školení pro zaměstnance o informační a kybernetické bezpečnosti a nemusíte se bát, že byste mu neporozuměli, na toto téma školíme i děti ze základky (viz článek na blogu). :)