Firemní sítě jsou zpravidla poměrně dobře chráněné po technické stránce. Sebelepší zabezpečení ale není odolné vůči lidské chybě. Útočníci to dobře vědí a zneužívají neznalost řadových zaměstnanců. Ostatně velké množství bezpečnostních incidentů vzniká jen díky lidskému pochybení. Přečtěte si, jak to ve vaší firmě změnit.
#1 Vytvořte kanál pro dotazy
Vytvořte e-mailovou adresu, kam se mohou zaměstnanci obrátit s dotazem nebo přeposlat podezřelou zprávu. Speciálně dedikovaný e-mail povzbudí zaměstnance, aby se nebáli zeptat na otázky, které by jinak zůstaly nevyřčené. Operátoři e-mailu mohou prověřovat nezvyklé zprávy a radit uživatelům, jak rozpoznat ty škodlivé.
Důležité je, aby k e-mailu měli přístup jen IT odborníci a pravidelně mu věnovali čas. Nejdůležitější při vzdělávání dalších je trpělivost, dbejte tedy, aby reakce na dotazy byly vždy pečlivé. Odpovědi na časté dotazy pak můžete využít i jako podklady pro školení celé firmy.
#2 Nastavte si varovný systém
Zvažte nastavení proaktivního a dynamického postupu, který varuje celou společnost, pokud čelí spamové kampani. Pokud se nějaký takový e-mail ve schránkách objeví, budou všichni zaměstnanci vědět, že jej nemají otevírat.
Podobný systém může zabránit tomu, aby se nic netušící zaměstnanec nechal nachytat a vystavil tak ostatní nebo firemní síť jakémukoliv riziku. Navíc může takovýto systém posloužit k posílení povědomí zaměstnanců o hlavních hrozbách a technikách jejich šíření. V neposlední řadě umožní varovný systém bezpečnostním technikům rychle analyzovat vlastnosti kampaně.
#3 Organizujte pravidelné školení a přednášky
Další cestou, jak vzdělávat zaměstnance jsou přednášky expertů, ať už interní kolegů nebo z jiných firem. V tomto případě jde spíše o dlouhodobou iniciativu. Podle našich zkušeností mají vlastní specialisty na bezpečnost jen velké firmy ze segmentu enterprise. Menší mohou oslovit například mateřské společnosti nebo dodavatelské firmy.
Nebývá od věci cykly přednášek realizovat napříč různými činnostmi – zaměstnanci mohou ocenit i osobní příběh kolegy, který uběhl maraton, stejně jako zkušenosti týmu z call centra. Vzdělávání se pak může stát nenásilnou celofiremní aktivitou.
#4 Uspořádejte soutěž
Každý rád vyhrává, že? Zaměstnanecké soutěže jsou zábavnou cestou, jak pomoc lidem vytvořit si nové bezpečnější návyky. Z interních materiálů pro přednášky nebo školení může vzniknout kvíz o nějaké symbolické ceny. Pomůže také firmě zjistit, jak na tom zaměstnanci se znalostmi jsou.
#5 Navrhněte průvodce řešením
Připravte návod, který popisuje nejefektivnější způsoby, jak předcházet kybernetickému útoku. Návod může obsahovat například informaci, jak bezpečně nakonfigurovat zařízení, jak zašifrovat citlivou informaci, nastavit dvoufaktorovu autentizaci a podobně.
Je důležité, aby takovýto návod byl co nejjednodušší, obsahoval jen zásadní informace, byl snadno dostupný a aktuální.
#6 Penetrační test
Připravenost firmy můžete i otestovat na nečisto. Penetrační testy připomínají trochu mystery shopping, jedná se o simulaci reálného chování. V tomto případě například najmete někoho, aby se pokusil do firmy propašovat USB disky nebo třeba dostat k nějakému počítači.
Často se testuje právě připravenost zaměstnanců na metody sociálního inženýrství. Testovat se dá ale také připravenost na spear phising, neboli cílenému phishingu.
V případě penetračního testování o testu ví jen několik interních lidí a předchází mu, pochopitelně, detailní smlouva. Díky závěrům budete vědět, na jaké oblasti bezpečnosti se příště zaměřit.
#7 Krátké rady a tipy
Pomoci může i interní komunikace. Můžete v e-mailu, v prostorách kanceláří nebo na intranetu nechávat krátké zprávy s tipy, jak se chovat bezpečně, nebo příklady zajímavých škodlivých kampaní.
Jak vzděláváme tým v ESET?
I zaměstnanci bezpečnostní společnosti potřebují neustále vzdělávat. V ESETu kombinujeme několik z výše uvedených způsobů. Samozřejmostí jsou pravidelná interní školení, které vedou specialisté z technické podpory a interního IT oddělení, takže kolegové, jejichž& denní chleba je řešení technických problémů.
Každý rok vyhlašujeme soutěž znalostí – obvykle soutěžíme o unikátní designová trička pro 3 nejlepší kolegy. Samozřejmě připravujeme dvě obtížnosti – jednu pro IT specialisty a druhou pro normální smrtelníky.
Na intranetu a dalších interních kanálech se celý tým může pravidelně dočíst o aktuálních kampaních a v neposlední řadě nepravidelně připravujeme penetrační test, v našem případě testujeme, zda naši zaměstnanci odolávají spearphishingu.