CANON_112024 CANON_112024 CANON_112024

Nepodceňujte školenie kybernetickej bezpečnosti pre zamestnancov

Bezpečnosť
0

Najslabším ohnivkom pomyselnej reťaze zabezpečenia IT infraštruktúry je ľudský faktor čiže zamestnanci. Veľa firiem túto problematiku podceňuje a zanedbáva odbornú prípravu svojich pracovníkov v oblasti bezpečnosti informačných technológií. Naproti tomu kriminálnici v kybernetickom priestore masívne využívajú a zdokonaľujú sofistikované metódy sociálneho inžinierstva čiže manipulácie ľudí.

S_1124 T TABS10 Advertisement

Štatistiky udávajú, že až 80 % útokov je iniciovaných z interného priestoru firiem pomocou webových kanálov, ktoré sú najčastejšie pre vznik phishingových útokov, napadnutie malvérom alebo napadnutie ransomvérom. Prakticky každý zamestnanec má e-mailovú adresu a prístup na internet. Najčastejšie spúšťače týchto útokov sú e-mail, web, SMS, využívanie nedôveryhodných kanálov, ako sú verejné cloudové úložiská či dokonca multimédiá a softvér sťahovaný cez torrenty. Jedna z najčastejších a zároveň najnebezpečnejších hrozieb je phishing. Ide o falošné e-maily alebo správy, ktoré pôsobia ako legitímna komunikácia, no ich skutočným cieľom je získať citlivé údaje alebo zmanipulovať obeť na stiahnutie škodlivého kódu.

Hackeri intenzívne útočia na ľudský faktor jednoducho preto, lebo im zjednodušuje a zefektívňuje „prácu“. Načo by sa namáhali útokmi na dobre zabezpečené firewally firiem a organizácií? Veď je to časovo náročné a neefektívne. Stačí im za zlomok nákladov vytvoriť phishingový e-mail, rozposlať ho zamestnancom firmy a oni urobia to, čo hacker potrebuje. Doba e-mailov so zlou gramatikou a syntaxou jazyka je minulosť. AI nástroje dokážu v súčasnosti vytvárať mimoriadne presvedčivé podvodné správy. Hackeri sa na tieto operácie môžu dôkladne pripraviť podrobným zisťovaním informácií o obetiach z verejne dostupných zdrojov. Nezaškolený, neopatrný a nepozorný zamestnanec potom ťahá za kratší koniec. Ak hrozbu nerozpozná a pričiní sa o prienik škodlivého kódu do IT systémov, môže tým firme spôsobiť veľké, často až nenapraviteľné škody, či už ide o únik, alebo stratu údajov a/alebo stratu reputácie.

Situáciu komplikuje čoraz obľúbenejší fenomén hybridnej práce. V praxi to znamená, že počítače a mobilné zariadenia zamestnancov sa stále viac využívajú mimo bezpečného prostredia firemnej siete. Nie je to úplne nový fenomén, mnohé firmy využívajú BYOD už pomerne dlho a majú praktické skúsenosti s tým, ako preniesť veľkú časť zodpovednosti za bezpečnosť na zamestnancov. Základom by malo byť dôkladné zabezpečenie domácej siete Wi-Fi, takže školenie musí zahrnovať aj túto oblasť.

Cieľom pravidelných školení zainteresovaných zamestnancov ohľadne zabezpečenia informačných systémov a ostatných zamestnancov o ich bezpečnom používaní je budovanie bezpečnostného povedomia, zníženie počtu incidentov, ochrana informačných aktív a minimalizácia prípadných strát. Zamestnanci sa na školení oboznamujú s internými predpismi, ktoré sú povinní dodržiavať, naučia sa, ako používať silné heslá, budú vedieť, akých činností sa majú vystríhať, a aj to, aké by to mohlo mať následky. Takisto sa naučia osvedčené postupy nielen pri vykonávaní rutinných úloh, ale aj v rôznych nezvyčajných situáciách. Súčasťou bezpečnostnej politiky a školení musí byť definovanie kompetencie jednotlivých zamestnancov a pravidiel, ktoré musia dodržiavať. Súčasťou pravidiel sú aj návody, ako má zamestnanec postupovať v rôznych situáciách, napríklad ak jeho počítač je napadnutý vírusom. Ak sú jasne definované kompetencie a postupy, škoda spôsobená prípadným útokom sa minimalizuje. Zamestnanci nespanikária a kompetentní správne vyhodnotia danú situáciu.

Podobne ako priebežné vzdelávanie zamestnancov v iných oblastiach aj bezpečnostné školenia sa realizujú buď prezenčnou formou, teda účasťou na prednáškach či seminároch, alebo formou e-learningu, či už organizovaného, alebo formou samoštúdia. Pri synchrónnom e-learningu sa uskutočňuje školenie viacerých zamestnancov súčasne v reálnom vopred dohodnutom čase a za aktívnej asistencie lektora. Táto forma je vhodná pre firmy s viacerými pobočkami, pretože zamestnanci ani lektor nemusia cestovať. Inak povedané, ak má pravidelné školenie trvať hodinu, zamestnanci pri ňom strávia hodinu, a nie celý deň, ako by museli, keby cestovali na prezenčné školenie z iného mesta.

Výhoda asynchrónneho e-learningu je v tom, že každý zamestnanec si môže vybrať vhodný čas, v ktorom si preštuduje materiály a absolvuje test. To umožní optimálne zladiť školenie s pracovnými povinnosťami. Nevýhodné je, že školenie prebieha bez priamej prítomnosti lektora. Preto sa asynchrónny e-learning najčastejšie využíva ako doplnková forma ku klasickým školeniam. Prípadne sa školenie uskutoční ako kombinácia prezenčnej formy pre zamestnancov, ktorí sa na ňom môžu zúčastniť, a synchrónneho e-learningu pre zamestnancov, ktorí nemôžu prísť.

Výborným zdrojom neustále aktualizovaných materiálov na asynchrónny e-learning aj samoštúdium zamestnancov je bezplatné školenie kybernetickej bezpečnosti pre zamestnancov od ESETu, vďaka ktorému získajú potrebné vedomosti v prehľadnej forme. Školenie je dostupné pre každého na portáli Bezpečne vo firme a pozostáva z piatich okruhov:

  • Ako sa vyhnúť malvéru,
  • Bezpečné používanie internetu,
  • Ochrana bezpečnými heslami,
  • Bezpečie e-mailovej komunikácie,
  • Ochrana pred cielenými hrozbami.

Každý okruh pozostáva z viacerých tém podaných formou pútavých videí. Súčasťou školenia je aj test, v ktorom si zamestnanci môžu overiť svoje vedomosti. V prípade úspešného absolvovania získajú osvedčenie s dosiahnutým výsledkom.

Vzdelávanie je, samozrejme, neoddeliteľná súčasť kybernetickej bezpečnosti, ale najúčinnejšie je v kombinácii s inými metódami. Zamestnanec neklikne na odkaz s potenciálnou hrozbou nielen preto, že je vyškolený a pozorný, ale jednoducho preto, že ani nemôže. Napríklad preto, že phishingový e-mail mu nepríde, keďže bude na príslušnej zabezpečovacej vrstve zachytený. Preto sú dôležité aj nástroje na zabránenie a zníženie hrozby zlyhania ľudského faktora, ktoré povoľujú alebo zakazujú prístup k niektorým webovým lokalitám, prípadne filtrujú e-mai­lo­vú prevádzku a odhaľujú vírusy, malvér alebo potenciálny phishing.

Úvodný obr. zdroj: https://depositphotos.com/

ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať