Lidská chyba jako hlavní riziko

Podle evropských statistik začíná více než 80 % kybernetických incidentů obyčejnou lidskou chybou. Ani sebelepší technické zabezpečení nedokáže zabránit tomu, aby zaměstnanec omylem neklikl na škodlivý odkaz, nezadal heslo na podvodné stránce nebo do firemního počítače nepřipojil infikovaný USB disk.

Nový zákon o kybernetické bezpečnosti toto zohledňuje a klade důraz na to, co se dosud často podceňovalo: roli člověka. „Každý zaměstnanec, bez ohledu na svou roli, představuje riziko, ať už se to líbí, nebo ne. Naopak dobře proškolený zaměstnanec může být první linií obrany, pokud dokáže podezřelou situaci rozpoznat a správně reagovat“ vysvětluje Kateřina Hůtová, manažerka kybernetické bezpečnosti ve společnosti Cybrela.

Co přesně musejí firmy zajistit

Školení zaměstnanců v oblasti kybernetické bezpečnosti by nemělo být jednorázovou formalitou při nástupu do práce. Stejně jako u BOZP nebo požární ochrany půjde o pravidelný proces, který musí být zdokumentovaný a prokazatelný.

Podle nového kybernetického zákona se školení týká všech osob, které při své práci přicházejí do styku s firemními informačními systémy nebo daty – tedy nejen IT pracovníků, ale i běžných uživatelů počítačů nebo mobilních telefonů. Cílem je, aby každý zaměstnanec rozuměl základním zásadám bezpečného chování na síti a věděl, jak se zachovat při podezření na kybernetický incident.

Rozsah a četnost školení se bude lišit podle toho, jestli firma spadá do nižšího nebo vyššího režimu povinností. V nižším režimu postačí základní proškolení a pravidelná osvěta, zatímco subjekty ve vyšším režimu musí zajistit i cílené vzdělávání odpovědných osob a technických specialistů, včetně pravidelného ověřování znalostí.

Mimo mantinely zákona je však vhodné se zamyslet i nad školením všech zaměstnanců – alespoň na bazální základy kybernetické bezpečnosti, protože ruku na srdce, ta nekončí zavřením pracovního PC“ dodává Kateřina Hůtová.

Vrcholové vedení pod dohledem

Novinkou je také povinnost pravidelného školení pro statutární orgány a členy vrcholového vedení. Už nestačí, aby jednatel nebo člen představenstva podepsal rozpočet na IT nebo bezpečnost a tím to končilo. Zákon očekává, že i vedení rozumí základním principům a dokáže se podle nich rozhodovat.

„Zároveň to ale neznamená, že by se z manažerů měli stát IT administrátoři. Vedení by nicméně mělo rozumět základům kybernetické bezpečnosti: jaký dopad má výpadek dodavatele na kontinuitu podnikání, proč má smysl investovat do segmentace sítě nebo jak rychle se může zastavit výroba, když se útočníci dostanou do firemních serverů. Bez základního povědomí je těžké dělat informovaná rozhodnutí a nést za taková rozhodnutí odpovědnost“ doplňuje Kateřina Hůtová.

Kyberbezpečnost jako součást firemní kultury

Zařazení kybernetické bezpečnosti mezi povinná školení má hlubší význam než jen splnění paragrafu. Stejně jako si dnes nikdo nedokáže představit, že by zaměstnanec neznal zásady bezpečnosti práce, stane se i kybernetická gramotnost nezbytnou součástí základní výbavy každého pracovníka.

Firemní kultura se tím posouvá: bezpečné digitální chování přestává být individuální odpovědností „ajťáků“ a stává se sdíleným standardem celé organizace. Právě tahle změna v myšlení managementu, který o ní bude rozhodovat, je klíčová. „Kybernetická bezpečnost není projekt ani jednorázové opatření, ale dlouhodobá disciplína, která vyžaduje neustálou pozornost“ uvádí Kateřina Hůtová.

Zbytečná administrativa? Ne tak úplně

Na první pohled může být představa dalšího „povinného školení“ strašákem – další úkol, další papírování, další čas strávený „neprací“. V praxi ale organizace rychle zjistí, že dobře zvládnuté vzdělávání je spíš investice než přítěž. Když lidé vědí, jak poznat podezřelý e-mail, jak správně pracovat s firemním zařízením nebo co dělat, když se něco pokazí, má to několik pozitivních dopadů:

  • méně incidentů a méně chyb z nepozornosti,
  • rychlejší reakce, když už k problému dojde,
  • nižší náklady na řešení následků,
  • a také méně poškozená reputace, protože firma, která dokáže zvládat zranitelnosti a hrozby, působí důvěryhodněji na partnery i zákazníky.

„Dobře, ale kde vzít školení, které řeší to, co zákon opravdu požaduje?“

Logická otázka, která musí následovat, protože nikdo nechce od nuly tvořit vlastní e-learningy a řešit, co všechno se má vlastně proškolit. V Cybrela akademii najdete kurzy, které na nové povinnosti reagují. Obsah odpovídá požadavkům nového zákona, ale je postavený tak, aby lidi neodradil po prvních minutách.

V akademii najdete několik úrovní školení. Od kurzů pro zaměstnance až po střední management, kteří pracují s firemními daty každý den a potřebují hlavně vědět, co dělat v běžných situacích. A brzy také povinné školení pro vrcholové vedení, které řeší témata týkající se řízení firmy jako celku – odpovědnosti, rizik a rozhodování při mimořádných událostech. Najdete zde i kurzy pro „běžné smrtelníky“, kteří se o dané témata zajímají. Kurzy je možné koupit samostatně, v balíčku, ale také zřídit přístupy pro celou společnost s možností specifikací na základě firemních požadavků.

Akademie Cybrela nabízí vzdělávání v kybernetické bezpečnosti, které odpovídá požadavkům zákona a zároveň respektuje běžný provoz organizací s důrazem na podporu byznysu. Najdete v ní kurzy zdarma i placený obsah. Vytvořeno konzultanty ze společnosti Cybrela.

Text nevyjadřuje názor redakce

Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.

  • Veškerý obsah HN.cz
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Ukládejte si články na později
  • Všechny články v audioverzi + playlist
za 40 Kč nebo za 80 Kč
Navíc mobilní aplikace
a web bez reklam