Jiří Hýzler je vedoucím školicího centra IT společnosti OKsystem. Zároveň se jako certifikovaný lektor zabývá problematikou bezpečnosti sítí a operačních systémů, zejména pak firewally, PKI, čipovými kartami, přípravou a implementací bezpečnostních politik a procedur. Věnuje se také architektuře a návrhům topologie sítí, Active Directory a administraci Exchange serveru. Je držitelem prestižního ocenění MVP v oblasti Enterprise Security. V OKsystemu pracuje přes 20 let.
Proč je téma kybernetické bezpečnosti stále tak aktuální?
Víme, že kolem nás je velká spousta informačních systémů, které jsou čím dál sofistikovanější a které již v sobě obsahují mnoho bezpečnostních pojistek. To však v praxi nestačí. Řada lidí se s IT technologiemi stále ještě nesžila a přistupují k nim jako k autu či domácímu robotu. Teprve až když se pokazí, řeší opravu. Nemají zažité základní bezpečnostní návyky.
Zaměstnanci společností mají často pocit, že ve firmě za ně tyto věci řeší IT odborníci a jich osobně se to netýká. Je až s podivem, že ještě dnes mají lidé hesla nevhodně uložená, na nezabezpečených stránkách nebo nalepená na monitoru. Podobných ukázek uživatelské naivity bych mohl vyjmenovat více. Bohužel, stále platí, že největším bezpečnostním rizikem firem nejsou počítačové viry a kyberzločinci, ale vlastní zaměstnanci.
Na co by se měly firmy zaměřit, aby zajistily svou kyberbezpečnost?
Firemní bezpečnost je celý komplex pravidel, nejen z oblasti IT. Samozřejmě hlavní úkol zabezpečení IT infrastruktury ve firmě spočívá na IT specialistech. Ti sledují aktuálních trendy, novinky a aplikují ochranné prvky interní sítě, udílejí přístupy… Toto je ve firmách většinou jasně nastavený proces odpovědnosti.
Druhá důležitá oblast ochrany, kde firmy obvykle selhávají, je systematické a efektivní vzdělávání zaměstnanců. Zaměstnanci buď pravidla bezpečnosti neznají, a tak je nedodržují, nebo se je dokonce snaží záměrně obcházet. Jejich proškolení by mělo být jedním z hlavních opatření v každé společnosti.
Co obsahuje účinné bezpečnostní školení?
Dobré školení je v podstatě takovým auditem bezpečnostních procesů, podobně jako požární cvičení.
Zaměstnanci si připomenou, co mají dělat v případě, že nechtěně klikli na nebezpečný odkaz nebo mají podezření na útok. Na koho se mají obrátit a jak celou situaci rychle řešit, aby minimalizovali škody.
Prezenční školení je v tomto ohledu daleko efektivnější, než když zaměstnanci získávají informace ze směrnice či skrze e-learning.
My v OKsystemu nabízíme komplexní služby. Školení IT bezpečnosti maximálně přizpůsobujeme potřebám a prostředí konkrétní firmy.
Náš lektor nejprve s odpovědnou osobou (bezpečnostním konzultantem, IT manažerem atp.) zmapuje vnitřní předpisy a nejpalčivější bezpečnostní otázky přímo ve firmě.
Na základě této konzultace připraví školení na míru, zpravidla formou dvouhodinového workshopu na adrese zákazníka. Jedna skupina pojme až 25 účastníků.
Je důležité, aby posluchači pravidla nejen znali, ale pochopili důvody, proč jsou tak nastavená a osahali si konkrétní příklady ze své praxe.
Co byste doporučil?
Vždy doporučuji, aby se někdo důkladně zamyslel, kdo má přístup do sítě nebo k citlivým firemním údajům a na školení byli pozváni všichni zaměstnanci. Kolikrát jeden zapomenutý brigádník může svou nedbalostí zavinit útok na celou firmu.
Proškolte všechny lidi s přístupem k síti, a i poté zůstaňte ve střehu! Udržet bezpečnost znamená dlouhodobou mravenčí práci IT specialistů i HR oddělení, kontinuální sledování aktuálních trendů a hrozeb a přizpůsobování firemní IT politiky novým situacím.