11. 12. 2024 10:08

Desatero praktických doporučení

pro zajištění kybernetické bezpečnosti

Některé věci je dobré opakovat a některé je dobré si nechat ověřit, byť s tím v kybernetické bezpečnosti máme letité zkušenosti. Stále například platí staré známé pravidlo, že nejslabším článkem kybernetické bezpečnosti je člověk a jeho chyby. Potvrdil to aktuální průzkum Kaseya Security Survey 2024, ve kterém uvedlo 89 % respondentů, že jako hlavní problém kybernetické bezpečnosti vnímá nedostatečné školení nebo nesprávné chování uživatelů. Bylo by ovšem chybou používat uvedené zjištění jako nějaké alibi a výmluvu. Jde zkrátka o důležitý rizikový faktor, se kterým musíme při zajištění kyberbezpečnosti počítat.

Problémy související s bezpečností uživatelů způsobují IT profesionálům největší starosti, přičemž za hlavní příčiny problémů s kyberbezpečností jsou považovány špatné postupy a důvěřivost uživatelů (45 %) a nedostatečné školení koncových uživatelů v oblasti kybernetické bezpečnosti (44 %).

Na otázku, které problémy kybernetické bezpečnosti ovlivnily jejich podnikání, se na prvním místě umístil phishing (58 %), následovaný počítačovými viry nebo malwarem (44 %) a kompromitací podnikové elektronické pošty (34 %).

Pouze 37 % dotázaných přitom, že účinnost svého plánu zajištění kyberbezpečnosti potvrzuje pravidelnými cvičeními, což je méně než loni ve stejném průzkumu Nové legislativní požadavky, jako je směrnice NIS2, přitom kladou důraz na odpovědnost organizací za vzdělávání zaměstnanců a pravidelná hodnocení rizik.

Je proto nezbytné investovat do pravidelných školení zaměstnanců. Mezi osvědčené metody zde patří:

• E-learningové platformy – umožňují zaměstnancům učit se vlastním tempem.
• Simulace phishingových útoků, tedy realistické testy pomáhají zaměstnancům rozpoznat podezřelé e-maily a chování.

Při implementaci dalších opatření pro ochranu před kybernetickými hrozbami můžete využít následující desatero praktických doporučení, které vychází z našich praktických zkušeností. Osvědčenými postupy při zajištění kybernetické bezpečnosti jsou:

1. Dvoufaktorová autentizace: Implementujte dvoufaktorovou autentizaci pro všechny citlivé účty a systémy.
2. Vzdělávání zaměstnanců: Pravidelně školte zaměstnance o aktuálních hrozbách a bezpečnostních praktikách.
3. Bezpečnostní politiky: Definujte jasné politiky pro používání firemních zařízení a přístup k citlivým informacím.
4. Zálohování dat: Pravidelně zálohujte důležitá data na zabezpečená místa, aby byla chráněna před ztrátou nebo ransomwarem.
5. Aktualizace softwaru: Udržujte všechny systémy a aplikace aktuální s nejnovějšími bezpečnostními záplatami.
6. Silná hesla: Používejte silná a unikátní hesla pro každý účet a využívejte správce hesel pro jejich uchovávání.
7. Monitorování aktivit: Pravidelně monitorujte síťové aktivity a hledejte podezřelé chování.
8. Ochrana před phishingem: Vzdělávejte zaměstnance o technikách phishingu, a jak rozpoznat podezřelé e-maily. Správná konfigurace mailboxů a filtrace škodlivé pošty je také klíčová k tomu, aby ve schránkách uživatelů skončilo minimum škodlivé pošty.
9. Bezpečnostní cvičení: Provádějte pravidelná cvičení na testování reakce na incidenty v oblasti kybernetické bezpečnosti.
10. Omezení přístupových práv: Omezte přístupová práva zaměstnanců pouze na ty informace, které skutečně potřebují k výkonu své práce.

Patrik Budz

Autor je manažerem bezpečnostního dohledového centra Thein Security.