Jak efektivně školit zaměstnance v IT bezpečnosti?

Martin Noska | 14.03.2012 | Analýzy, Bezpečnost | Žádné komentáře

Dobře proškolení zaměstnanci jsou základním pilířem kybernetické bezpečnosti v každé organizaci. Nicméně častou praxí je, že školení nejsou účinná a pro zaměstnance nudná, takže si z nich příliš nezapamatují.

V rámci IDC IT Security Roadshow 2012, která se uskutečnila v březnu v Praze, vystoupil s přednáškou na toto téma Dan Lohrmann, který má na starost řízení IT bezpečnosti státu Michigan. Ten nastínil způsob, jak školit zaměstnance tak, aby si z tréninků odnesli maximum a aby bylo možné spolehnout se na to, že dokáží rozeznat potenciální hrozbu a vyvarovat se jí. Zhruba 64 % všech kyberútoků je totiž výsledkem individuálního chování jednotlivce a trénink zaměstnanců v oblasti kyberbezpečnosti je ideálním prvním krokem v zlepšení ochrany svojí sítě a systémů.

Zaměstnanec atraktivním cílem útočníků
Podle Lohrmanna jsou kyberútoky už běžnou denní záležitostí a kyberbezpečnost nezná hranic. Prakticky všude na světě je situace stejná a zaměstnanci ve firmách jsou denně vystaveni hrozbám phishingu a dalším typům kyberútoků.

Právě na zaměstnance a interní aplikace firem cílí moderní typy kyberútoků, které původně byly zaměřené spíše na servery a sítě firem. Ty jsou ale stále lépe zabezpečené a tak nejsnazší cesta k infiltraci vede obvykle právě přes zaměstnance. „Typický průběh je takový, že pracovníkovi přijde e-mail s falešným odkazem, na který když klikne, je jeho výsledkem například instalace keyloggeru (tedy aplikace, která sbírá a odesílá pořadí stisku kláves na nakaženém PC), pomocí nějž útočník získá uživatelská hesla zadávaná pro přihlašování k firemním aplikacím,“ říká Lohrmann.

Útok přitom může začít kdekoliv a kdykoliv, jak doma, tak v práci. Zaměstnanci obvykle klikají na podezřelé odkazy bez většího rozmyslu, otevírají přílohy e-mailů, stahují pirátský či nakažený software nebo nepoužívají antivirová řešení. Nebezpečné praktiky jsou běžnou záležitostí. Pro ověření toho, jak jsou zaměstnanci obezřetní, stačí jednoduše vyzkoušet poslat jim takový falešný e-mail s odkazem a sledovat, kolik z nich na něj klikne. V případě státních zaměstnanců Michigenu na testovací odkaz ve falešném e-mailu kliklo 200 lidí, což je více než dostatek k tomu, aby útočník získal to co potřebuje.

Efektivní vs. neefektivní trénink
Většina firem přitom žije v představě, že svoje zaměstnance školí a že ti by měli být schopni si s hrozbami poradit. Podle Lohrmanna je ale většina současných školení na toto téma příliš široká a neposkytuje pracovníkům dostatečný vhled. Místo toho se obvykle soustředí na to, co je legální a co ne, jaké jsou požadavky z hlediska bezpečnostního auditu či jaká je shoda s předpisy.

Taková školení ale nefungují zejména proto, že zaměstnanci nevidí relevanci prezentovaných informací v běžném životě a v praxi. „Materiály nejsou dostatečně často aktualizované, zaměstnancům není vysvětlena jejich role a zodpovědnost v rámci kyberbezpečnosti organizace, a těm pak připadá, že bezpečnost je práce někoho jiného, kdo je za ni placený. Klasický seminář, jehož hlavní součástí je sledování powerpointové prezentace, je nudný a zaměstnanci brzy přestanou obsah vnímat,“ tvrdí Lohrmann.

Stát Michigan se proto rozhodl pro zavedení nové generace školicích programů, které mají tyto nedostatky odstranit. Ty jsou stručné a krátké, ale současně dostatečně časté (cca 10 minut měsíčně). Soustředí se vždy na jeden konkrétní problém či oblast, snaží se být interaktivní, zapamatovatelné a relevantní k aktuální situaci. Tedy opak k tradičním dlouhým a nudným školením.

Tato školení jsou založena na principu webový aplikací, takže zaměstnanec si je může projít ve chvíli, kdy na ně má čas a náladu. Klíčovým prvkem podle Dana Lohrmanna je to, aby bezpečnostní školení byla zábavná a interaktivní, například ve stylu her. „Hry mají velký efekt zejména proto, že v nich lidé mohou experimentovat bez rizika, dát člověku okamžitou zpětnou vazbu, vylepšit si možnost týmové spolupráce nebo si vyzkoušet, s čím se mohou setkat ve skutečnosti,“ dodává.

Důležité je také používat příběhy z reálné praxe, místo suché teorie a popsat případy a situace, které se mohou stát každému. Nedílnou součástí je i sofistikované povzbuzení zaměstnanců, aby se cítili součástí kyberbezpečnosti celé organizace.

Výsledky školení pak mohou být v rámci aplikace snadno otestovány a statistiky si mohou prohlédnout vedoucí bezpečnosti v organizaci v podobě aktuálních reportů.

Cesta k vyspělému modelu kyberbezpečnosti
Cílem bezpečnostní strategie organizace či firmy by mělo být dosáhnout stavu, kdy bude moci pomocí stanovených metrik sledovat, k jakým posunům v bezpečnosti došlo, z čehož pak bude moci vyvodit i přímý dopad na svůj byznys. Důležitý je také vypracovaný dlouhodobý plán na školení, který zahrnuje strategii co kdy zaměstnance školit a pravidelnou aktualizaci materiálů. Jeho rozvoji má pomoci i zpětná vazba od zaměstnanců.

Lohrmann říká, že v situaci, kdy počet kyberhrozeb roste, je investice do školení jedním z nejlepších kroků. Zaměstnanci jsou pro každou organizaci její největším aktivem (ale i zdrojem největších hrozeb) a je potřeba do nich investovat, aby se stali vašimi partnery v oblasti kyberbezpečnosti.

Jenom rozesílat e-maily s bezpečnostními politikami je neúčinné a je potřeba, aby školení odpovídalo tomu, co si zaměstnanci představují a co jim vyhovuje nejlépe.

Dan Lohrmann během svojí prezentace na IDC IT Security Roadshow 2012 v Praze.

Dan Lohrmann během svojí prezentace na IDC IT Security Roadshow 2012 v Praze.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


čtyři − jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz