+420 237 836 950 sales@ngss.cz English
Program rozvoje bezpečnostního povědomí – jak pomůže vaší firmě?

Program rozvoje bezpečnostního povědomí – jak pomůže vaší firmě?

15. 07. 2021
Lidem pracujícím v oblasti kybernetické bezpečnosti, resp. informační bezpečnosti se často stává, že když ve společnosti zmíní své povolání, bezprostředně se dostaví otázka: „Takže ty děláš v IT, jo?“. Odpověď může být kladná. Bez technicky orientovaných odborníků, kteří rozumí hardwarovým zařízením, programům, jejich propojení v sítích a sítím obecně, by kybernetický prostor organizace bránit opravdu nešlo. Přesto se v oboru najde řada lidí, jejichž znalosti o světě IT jsou značně omezené.

Argumentem, který vyvrací vžitou představu o čistě technickém charakteru kybernetické bezpečnosti, může být citace nebo opis některé z mnoha definic kybernetické bezpečnosti, např.:  Kybernetická bezpečnost je souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru. (Zdroj: Výkladový slovník Kybernetické bezpečnosti)

Různé podoby IT bezpečnosti si můžeme demonstrovat na potenciálním scénáři: Vývojáři společnosti, která vyvíjí mobilní aplikace, přestal fungovat notebook. Poruchu nenahlásil a počítač zavezl do servisu. Na pevném disku byla uložena data k vývoji aplikace. Technik v servisu data okopíroval a prodal je konkurenční společnosti.

V uvedeném případě nešlo o primárně technický problém, nýbrž o chybějící bezpečnostní procesy nebo o vývojářovu neznalost či lehkomyslnost. Před incidentem by organizaci ochránilo zavedení povinností obdobné události nahlásit, přesunout před odevzdáním do servisu data z pevného disku na jiné úložiště, pevný disk zašifrovat, nebo se servisem uzavřít dohodu o mlčenlivosti obsahující sankce přiměřené hodnotě chráněných informací.

Kybernetickou bezpečnost tedy nelze chápat jako věc čistě technickou, řízenou pod taktovkou vedoucího IT. Jde o systém, který pro svou funkčnost vyžaduje zahrnutí všech částí v rámci hranic, které vedení organizace stanoví. Těmito částmi jsou lidé, technologie a procesy.

 

K čemu je program rozvoje bezpečnostního povědomí?  

Kromě technologie jsou pro zajištění kybernetické bezpečnosti zásadní lidé a procesy, jimiž se činnosti lidí a provoz technologií řídí. Program rozvoje bezpečnostního povědomí chápeme jako souhrn procesů, které mají za cíl:

  • Rozvíjet ve firmě kulturu bezpečného chování a zacházení s informacemi  
  • Rozvíjet odbornost osob, které kybernetickou bezpečnost ve firmě navrhují a řídí
  • Snižovat rizika lidského charakteru  
 

Co všechno program zahrnuje?

Pro program rozvoje bezpečnostního povědomí jsou zásadní tyto procesy a činnosti:

  • Identifikace a hodnocení rizik antropogenního charakteru (lidský faktor) a výběr opatření k jejich snížení  
  • Zavedení těchto opatření v bezpečnostních politikách (zejména v politice bezpečnosti lidských zdrojů a v politice bezpečného chování uživatelů)
  • Plánování a pořádání školení pro skupiny osob uvedené níže  
  • Plánování a zajištění zdrojů pro vzdělávání osob zastávajících bezpečnostní role včetně jejich účasti na konferencích, přednáškách a dalších akcích pořádaných bezpečnostní komunitou  
  • Osvěta a propagace v oblasti kybernetické bezpečnosti např. prostřednictvím intranetových stránek, distribuce informačních letáků či oběžníků, vylepování plakátů apod.
  • Zařazování problematiky na program pravidelných schůzí na různých úrovních v rámci organizačního uspořádání organizace
  • Plánování a provádění testů odolnosti uživatelů vůči hrozbám představujícím největší rizika (např. zaslání phishingového e-mailu náhodným pracovníkům)  
 

Na koho je program zaměřen?

Při tvorbě programu rozvoje bezpečnostního povědomí je třeba pomýšlet na následující skupiny:

  • Osoby zastávající bezpečnostní role, např. manažer, architekt a auditor kybernetické bezpečnosti, bezpečnostní správce
  • Garanti aktiv (pracovníci zodpovědní za chráněné procesy a informace)
  • Vedoucí pracovníci
  • Řadoví pracovníci  
  • Administrátoři informačních systémů
  • Pracovníci významných dodavatelů, kteří mají přístup k informacím

 

Hlavní úkoly programu

Jak již bylo řečeno, cílem programu zvyšování bezpečnostního povědomí je snížení rizik antropogenního charakteru, tedy způsobených lidským faktorem. Ke splnění tohoto úkolu je nejdříve nutné tato rizika určit, ohodnotit a prioritizovat. Až poté lze přistoupit k nastavení programu tak, aby na zjištěná rizika co nejefektivněji odpovídal. Riziko představuje bezrozměrnou veličinu, která může být stanovena řadou různých metod. V oblasti kybernetické bezpečnosti se riziko vždy odvíjí od:

  • pravděpodobnosti, že se daná hrozba realizuje  
  • míry dopadu, který by mohla hrozba znamenat

Rizika lze určovat a hodnotit ve vztahu k jednotlivým aktivům (nejčastěji jde o skupiny chráněných informací, jako jsou např. účetní data, smlouvy s klienty apod.), nebo ve vztahu k organizaci jako takové.

V počáteční fázi, kdy je navrhována celková podoba programu rozvoje bezpečnostního povědomí, lze použít některou z jednoduchých a časově nenáročných metod (nikoli nejpřesnějších), jako je např. metoda Analog Risk Assessment Method (dále jen „ARA“). Jedná se o metodu, která umožňuje přehledné porovnání hrozeb prostřednictvím jejich zakreslení do grafického pole. Poloha hrozby v poli je stanovena odhadem vzájemné pravděpodobnosti (likelihood) a dopadů hrozby (severity) na základě zodpovězení sady otázek „ano/ne“ odpovědnými osobami v organizaci. 

 

Hrozby antropogenního charakteru lze rozdělit do dvou základních skupin:

  • Lidská selhání
  • Úmyslná škodlivá činnost  

 

Lidská selhání

Lidská selhání se týkají chyb uživatelů i administrátorů, chybných rozhodnutí vedoucích pracovníků, nerozpoznání bezpečnostního incidentu apod. Rčení praví, že chybovat je lidské, a zcela lidským chybám předejít nelze. Jasná komunikace správných postupů  a upozorňování, na co si dát pozor, pravděpodobnost chyb výrazně snižuje.  

Není přitom důležitá pouze osvěta uživatelů a jejich školení, ale také vzdělávání osob zastávajících bezpečnostní role v organizaci. Rozšiřování znalostí ohledně řízení kybernetické bezpečnosti prostřednictvím renomovaných kurzů a účast na konferencích a seminářích s bezpečnostní tematikou pomáhá vyvarovat se chyb při řízení kybernetické bezpečnosti.

 

Úmyslná škodlivá činnost

Pod úmyslnou škodlivou činností si lze představit např. kybernetický útok z vnitřní nebo z vnější sítě, útok pomocí sociálního inženýrství, špionáž či použití vybavení neautorizovanými uživateli nebo neautorizovaným způsobem.

S rozvojem technologií stoupá odolnost organizací vůči kybernetickým útokům prostřednictvím virů  
a spyware programů. Útočníci tak stále více sahají k metodám zahrnujícím psychologickou manipulaci, a to skrze naše přirozené lidské Achillovy paty, tedy například zvědavost, strach či nepozornost. Tyto praktiky označujeme termínem sociální inženýrství. Nejčastějšími typy útoků sociálního inženýrství jsou phishing (útoky prováděné s cílem získat citlivé informace oběti) a na vzestupu je také jeho obzvláště zákeřná a úspěšná forma spear-phishing. Jsou známy i případy, kdy si útočník dokonce půjčí cizí telefonní číslo nebo e-mailovou adresu (tzv. „spoofing“), aby vzbudil dojem, že oběti telefonuje někdo známý. Program rozvoje bezpečnostního povědomí by měl cílit na snižování zranitelnosti jednotlivých skupin osob proti těmto útokům.  

 

 

Veliká starost o zaměstnance – menší starost s útočníky

Antropogenní hrozby dále rozdělujeme podle původu jejich aktérů na vnitřní a vnější. V případě lidských selhání se jedná většinou o vnitřní hrozby. Škodlivou lidskou činnost provádí útočníci jak zvenku, tak zevnitř. Útoky zevnitř organizace jsou úspěšnější. Pachatel má vždycky motiv, proto by měla být ve firmě zaváděna opatření pro motivaci pracovníků k bezpečnému a etickému chování ve vztahu k datům, informacím a technickým prostředkům.  

Co se motivace týče, platí, že ta pozitivní je mocnější než ta negativní. Příkladem dobré praxe je např. odměňování pracovníků, kteří projdou testem odolnosti vůči hrozbám (např. nevpustí neznámou osobu do bezpečné zóny nebo nekliknou na odkaz v phishingovém e-mailu) nebo odměňování oddělení podle plnění bezpečnostních met a úkolů určených vedením organizace.  

Nedostatečný důraz na komunikaci je bohužel v řadě společností stále běžnou realitou. Zaměstnanci si přinášejí práci domů na různých nosičích, často třeba na nešifrovaném USB disku. Po použití dat na disku je nesmažou, disk neuloží na bezpečné místo a používají jej k nepracovním účelům. Často by tak nečinili, kdyby věděli, že v případě problému (např. zneužití dat) mohou být obviněni z trestného činu zcizení duševního vlastnictví.

Cílem rozvoje bezpečnostního povědomí není pouze prevence ve smyslu snižování pravděpodobnosti, že k realizaci hrozby dojde, ale také možnost adekvátní reakce v případě narušení kybernetické bezpečnosti. Je třeba zaměřit se na to, jak mohou jednotlivé skupiny osob problém poznat, jak a komu jej nahlásit, případně jak jej řešit, pokud jde o skupinu, které tento úkol náleží.  

 

Plán rozvoje bezpečnostního povědomí

Důležitým nástrojem pro řízení programu je plán rozvoje bezpečnostního povědomí. Jde o záznam, tedy o interní dokument, který je třeba vydávat v pravidelných intervalech, standardně každý rok. Plán rozvoje bezpečnostního povědomí obsahuje podle vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti v platném znění alespoň:

  • Obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role
  • Obsah a termíny poučení nových zaměstnanců 
  • Přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly
  • Formy a způsoby hodnocení plánu.

 

Závěr

Kybernetickou bezpečnost je třeba vnímat jako komplexní oblast řízení zahrnující technologie, lidi  
a procesy. Organizace s nejlepšími odborníky a výborně poučenými uživateli technických prostředků bez účinných technologií je stejně zranitelná jako organizace disponující špičkovou bezpečnostní technologií bez vzdělaných řídících pracovníků a poučených a svědomitých uživatelů.  

Zásadními úkoly v souvislosti s hrozbami a riziky jsou snižování zranitelnosti personálu proti úmyslným útokům a chybám, motivace k bezpečnému chování a aktivnímu přístupu ke kybernetické bezpečnosti, umožnění včasného rozpoznání a adekvátní reakce a zvyšování znalostí osob v bezpečnostních rolích.  

Většina velkých organizací provádí pravidelná školení personálu ke kybernetické bezpečnosti. Program rozvoje bezpečnostního povědomí by se však neměl omezovat pouze na školení, ale měl by zahrnovat také testování odolnosti a kontinuální vzdělávání pracovníků bezpečnosti. Kybernetické hrozby a možnosti, jak se jim bránit, se dynamicky vyvíjejí, zejména pokud jde o technologie. Znalosti osob, které navrhují a řídí kybernetickou bezpečnost, na vysoké úrovni, značně zvyšují možnost snížení celé řady kybernetických rizik, jejichž možný finanční dopad je o mnoho vyšší.

Jak praví citát světoznámého spisovatele Arthura Conana Doyla: „Každý řetěz je silný jen tak, jak je silný jeho nejslabší článek.“

Nedovolte, aby lidé byli nejslabším článkem kybernetické bezpečnosti. Sjednejte si důkladné školení kybernetické bezpečnosti pro odborníky i pro běžné uživatele.  

 

 

 

 

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

Sledujte náš LinkedIn
Vstup do SMC
O nás
Případové studie
Blog
Kontakt
NESTOR SOC247
GDPR
NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.
Telefon +420 237 836 950
E-mail sales@ngss.cz