Menu

Člověk jako nejslabší článek kyberbezpečnosti. 5 tipů, jak školit vaše zaměstnance

Barbora Nováková

Barbora Nováková
13. 10. 2023

KYBERBEZPEČNOST VZDĚLÁVÁNÍ ZAMĚSTNANCI
Člověk jako nejslabší článek kyberbezpečnosti. 5 tipů, jak školit vaše zaměstnance

SDÍLET

Představte si, že přijdete v pondělí do práce. Když jdete ke svému počítači, na zemi vidíte ležet flashku s nápisem Výplaty. Zvědavost vám nedá a USB disk bez rozmyslu zasunete do počítače. „Stal jste se obětí kyberútoku, máme teď přístup ke všem vašim firemním datům,“ hlásá nápis na monitoru nemilosrdně. Jak byste se v takové chvíli cítili? Dobrou zprávou je, že o kybernetický útok tentokrát nešlo. Byl to falešný USB útok, který si firma v rámci školení o kyberbezpečnosti objednala. A naletěla víc než třetina lidí. Lidé jsou totiž nejrizikovějším článkem firemní kyberbezpečnosti.

Koncept nulové důvěry byl definován už v roce 2010. Díky technologiím, jako je například ZTNA, se daří aplikovat tyto principy i na současnou moderní IT architekturu.

Citace od Radka Šichtance Radek Šichtanc
Šéf bezpečnosti O2

„Všichni zaměstnanci musí mít povědomí o tom, co hrozí, třeba jak vypadá phishingový e-mail a jak se při podezření zachovat,“ komentuje Radek Šichtanc, ředitel bezpečnosti O2. Do systematického školení zaměstnanců se proto vyplatí investovat

Řada firem dnes nabízí nepřeberné množství školení zaměstnanců. V záplavě nabídek ale můžete mít potíž se vyznat. Co by takovému školení zaměstnanců v oblasti kyberbezpečnosti nemělo chybět? Přinášíme 5 tipů, jak si správně vybrat.

Tip 1: Školte před kyberhrozbami, které hrozí vaší firmě

Ještě před tím, než začnete školení vybírat, byste měli pečlivě zanalyzovat rizika, která hrozí právě vaší firmě. Z takové analýzy snadněji vyplyne zaměření konkrétních školení. Pro každou firmu budou logicky jiná. Některé firmy například nebudou své zaměstnance školit na USB útoky, protože mají USB porty úplně zakázané. Jiné naopak budou investovat do školení zaměřených na ochranu osobních údajů, protože v rámci svého podnikání často zpracovávají citlivé informace.

Tip 2: Zaměstnanci na různých pozicích potřebují jiná školení 

Bezpečnostní trénink doporučujeme přizpůsobit potřebám konkrétních pracovníků. „Jiné školení by měli absolvovat lidé z IT oddělení (například zaměřené na ransomware) a jiné lidé z obchodního – třeba na BEC útoky (Business E-mail Compromise), při kterých podvodníci vylákají z firmy peníze podvodnou fakturou nebo vydáváním se za někoho z managementu,“ upozorňuje Martin Haller, spolumajitel firmy PATRON-IT a odborník na kybernetickou bezpečnost. Naopak u řadových zaměstnanců budujte povědomí o možných phishingových hrozbách nebo jiných metodách sociálního inženýrství. Základní povědomí o nejčastějších kybernetických hrozbách by měli mít ale všichni zaměstnanci.


Tip 3: Lepší jsou pravidelná a menší školení než jedno velké ročně 

Expert na kyberbezpečnost malých a středních firem Martin Haller doporučuje pořádat raději menší, ale pravidelná školení v kratších časových intervalech než jedno velké školení za rok. Jedině pravidelným připomínáním si vaši lidé dobře zapamatují informace a zásady kybernetické bezpečnosti.

Tip 4: Školení by mělo být aktuální, zohledňovat trendy a být zábavné 

Dobré školení také reaguje na nejaktuálnější trendy. Hackeři jsou vynalézaví a stále přicházejí s novými metodami, jak útočit. Například podle našeho O2 Security reportu jsou v poslední době na vzestupu phishingové útoky. Jedním z možných důvodů může být obrovský vzestup používání generativní umělé inteligence, která umí napsat podvržený e-mail přesvědčivěji a bez gramatických chyb. Školení dost často zaměstnanci vnímají jako nudné a nutné zlo. Nebojte se proto do školení zapojit herní prvky tak, abyste formu školení učinili pro cílovou skupinu zajímavější. U nás v O2 se snažíme neustále přicházet s novými technikami školení v oblasti bezpečnosti a jednou z technik je i gamifikace. Aktuálně u nás právě probíhá kampaň, kde formou online hry na kyberútočníky a obránce školíme zaměstnance v tom, aby si osvojili správné návyky bezpečného chování v online prostředí, ve firmě i při práci z domova.

Rozpoznání phishingového emailu může být komplikované, ale několik klíčových znaků vás může varovat:

  • Dříve byly podvodné e-maily psané s gramatickými nebo stylistickými chybami, to už dnes ale neplatí stoprocentně. 
  • Útočník na vás naléhá, abyste mu vyhověli v krátkém časovém úseku, a vyvíjí na vás časový nátlak. 
  • Někdo vás prosí o nestandardní požadavek (třeba o finance nebo osobní údaje). 
  • Adresa příjemce se liší od původní adresy odesílatele a působí podezřele. 
  • Po najetí kurzorem na odkaz v e-mailu se ukáže skutečná URL a liší se od uváděného odkazu. 

Tip 5: Správně zorganizované školení může být zaměstnaneckým benefitem 

Když zorganizujete školení v kyberbezpečnosti dostatečně akční a lákavé, můžete s ním operovat jako se zaměstnaneckým benefitem, protože si při něm vaši lidé osvojí hard skills i soft skills, které jim budou užitečné i mimo pracovní prostředí. Například můžete do školení zahrnout také dovednosti, které lze použít i v běžném životě (ochrana osobních údajů na sociálních sítích, zásady bezpečnosti online nakupování). Vedle technických dovedností se na školení můžete zaměřit i na rozvoj soft skills, jako jsou například komunikace, kritické myšlení nebo rozhodování v krizových situacích. Tyto dovednosti jsou přenosné do mnoha aspektů života.


Kde najít kvalitní školení kyberbezpečnosti?

Kromě komerčních kurzů od firem, jako je ICT Pro, Czechitas nebo počítačová škola Gopas, existuje také mnoho školicích materiálů od NÚKIBu – kurzy a tréninky zaměřené na kybernetickou bezpečnost, které jsou určeny pro různé cílové skupiny uživatelů, včetně běžných uživatelů, studentů, podniků a státních institucí.

Kyberbezpečnostní školicí platforma od O2 

  • E-learningová platforma, která nabízí různé podoby školení zaměstnanců ohledně kyberbezpečnosti. 
  • Součástí jsou také vzdělávací texty, které jsou postavené tak, že jim zaměstnanci musí věnovat pozornost. 
  • Poskytuje i testovací phishingový, spearphishingový nebo USB útok. 
  • Firma si může nastavit četnost, rozsah i kombinace různých modulů, aby dostala přesně to, co potřebuje. 
  • Testovací šablony je možné si upravit tak, aby odpovídaly vašemu oboru. 
  • Do podoby platformy se neustále propisují trendy a nové hrozby. 

V dnešní digitálně propojené době je kyberbezpečnost nejen technickou záležitostí, ale stává se klíčovou součástí strategického managementu. Nedostatek pozornosti věnované kyberbezpečnosti vystavuje vaši firmu nejen riziku finančních ztrát, ale také potenciálnímu poškození reputace a důvěry vašich zákazníků.  

Školení zaměstnanců v oblasti kyberbezpečnosti je investicí do odolnosti a konkurenceschopnosti vaší firmy. Proškolení zaměstnanci, kteří jsou schopní identifikovat a adekvátně reagovat na bezpečnostní hrozby, jsou první obrannou linií proti kybernetickým útokům. Vedení společnosti by proto mělo jít příkladem a zaměstnancům poskytnout kromě technických nástrojů i dostatečný a pravidelný training.


Co si z článku odnést: 

  • Proškolení zaměstnanci jsou první obrannou linií proti hackerům. Dostatečné vzdělání zaměstnanců může zabránit mnohým pokusům o kyberútok. 
  • Školení řadových zaměstnanců může zejména zvýšit odolnost proti phishingovým útokům, které jsou jedním z nejčastějších úspěšných útoků. 
  • Školení by měla předcházet analýza rizik, která vás nasměruje k tomu si objednat training na míru právě vaší firmy. 
  • Lepší než jedno velké školení ročně je řada menších, ale častějších pravidelnějších


Barbora Nováková Barbora Nováková
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
QR kódy: nová hrozba, na kterou si dejte pozor

QR kódy: nová hrozba, na kterou si dejte pozor

Zobrazit článek
QR kódy: nová hrozba, na kterou si dejte pozor
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Zobrazit článek
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Zobrazit článek
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Zobrazit článek
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?

Zobrazit článek
Generace Z a kyberbezpečnost. Je pro ni důležitá?
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Zobrazit článek
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

Zobrazit článek
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Zobrazit článek
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
;