Pokračujeme v seriálu článků týkajících se kybernetické bezpečnosti, tentokrát na téma klíčová opatření pro zabezpečení vaší firmy.
Vzhledem k tomu, že více než 40 % kybernetických útoků přímo využívá lidského faktoru, je nezbytným opatřením vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti, včetně simulací útoků na konkrétní osoby ve vaší firmě. Realizovaný kybernetický útok by na společnosti, v době zatížené koronavirem, mohl mít zcela zničující dopad.
Klíčová opatření pro oblast kybernetické bezpečnosti
Pro minimalizaci rizik a snížení pravděpodobnosti kybernetického útoku, úniku dat a minimalizaci zejména finančních dopadů, doporučujeme učinit následující opatření:
1. Je sice pravdou, že papír snese vše, ale i kybernetická bezpečnost by měla mít oporu ve vašich formálních interních směrnicích. Společně s tím byste měli umět vyhodnotit rizika a zavést opatření na snížení jejich úrovně. Ostatně tento způsob vám zajistí vhodný nástroj pro efektivní vynaložení nákladů.Formální dokumentace ve formě interních předpisů představuje základ a definuje odpovědnosti vašich uživatelů a dodavatelů. Díky ní, je nastaven rámec jejich odpovědností a požadavků za společnost.
2. Lidský faktor je jedním z nejvíce zranitelných prvků, proto je nezbytné klást důraz na pravidelné školení všech vašich uživatelů, a to nejlépe nejenom formou klasického e-learningového školení, ale také průběžnou informací o nových hrozbách. Vhodnou formou je i simulovaná kampaň obsahující různé podvržené e-maily.
a) Většina firem využívá služeb třetích stran, jako jsou různá cloudová řešení, sociální média, platební brány a další. Na těchto místech bývají uložena citlivá data vaší firmy nebo vaší osoby. Pomocí stejných nástrojů a metod, jaké používají dnešní kybernetičtí zločinci, mohou naši „etičtí hackeři“ simulovat kybernetické útoky, aby odhalili zranitelná místa ve vaší společnosti.
b) Aby se zabránilo únikům citlivých informací, je třeba provádět pravidelné a důkladné školení zaměstnanců v oblasti kybernetické bezpečnosti. Provádění phishingových kampaní na vlastních zaměstnancích vám poskytne informace a statistiky, které mohou být využity ke správnému proškolení Vašich zaměstnanců a pomůže i jejich dalšímu seberozvoji.
3. Pravidelně testujte zranitelnosti své počítačové sítě a alespoň jednou za rok proveďte ověření pomocí penetračních testů.
a) Test zabezpečení se skládá z řady účinných metod testování odolnosti organizace proti kybernetickým útokům. Jeho prostřednictvím můžete odhalit technické, organizační a lidské zranitelnosti, které mohou představovat riziko pro pověst vaší společnosti i finanční a provozní schopnosti. Testování zabezpečení navíc pomáhá posílit povědomí o bezpečnosti IT a informací v organizaci.
b) V BDO k testování přistupujeme následovně:
4. Zásadně nepoužívejte produkty s ukončenou podporou od výrobce, ty představují velké riziko.
Produkty bez podpory výrobce představují nemalé riziko pro společnost. V případě identifikace nové zranitelnosti již pro ně nejsou vydávány opravné aktualizace a následně představují velké riziko pro počítačovou síť společnosti.
5. Ve službách dostupných z vnější části sítě (internetu) používejte výhradně vícefaktorové přihlašování.
Pokud je nastaveno přihlašování druhým faktorem (např. sms), je zajištěna ochrana v případě úniku hesla uživatele. Tento únik je rizikový zejména z důvodu častého využívání stejného hesla uživateli do různých služeb, včetně veřejných. Další faktor ověření zajistí nutnost zadání další informace pro úspěšné přihlášení.