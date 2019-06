Ide tu o peniaze, aj reputáciu. A tiež možné právne problémy.

Nedostatočné zabezpečenie počítačov vo firme už totiž dávno nie je len rizikom toho, že sa niekto niekam dostane. Ale čo tam napácha a komu to bude prekážať.

Môžete mať najnovší antivírový program, perfektne nastavený firewall a špičkového človeka na mieste šéfa IT oddelenia. Ak však vaši zamestnanci nie sú si vedomí rizika, ktoré ich aktivity na internete predstavujú pre vašu firmu, všetko zabezpečenie je nanič.

Zvykne sa hovoriť, že bývalí zamestnanci sú pre firmu najväčším rizikom. Vladimír Frčo, špecialista na sieťovú a telekomunikačnú bezpečnosť zo spoločnosti Orange to však vidí inak: „Bývalí kľúčoví zamestnanci predstavujú riziko skôr z pohľadu konkurencie. Väčšina z nich má informácie, ktoré môžu pomôcť získať konkurenčnú výhodu na trhu. Škody v oblasti informačných technológií našťastie nepáchajú. Dokonca máme prípad, keď nám bývalý zamestnanec pomohol zlepšiť bezpečnosť.“

Tento odborník na kybernetickú bezpečnosť je presvedčený, že pri porovnaní škôd, ktoré môžu napáchať ľudia, vedú súčasní zamestnanci: „Určite vedú súčasní zamestnanci. Rozhodujúca je dĺžka pracovného pomeru, spokojnosť a motivácia zamestnanca. Zamestnanci s pracovným pomerom dlhším ako 2 roky majú dostatočný prehľad o firme a procesoch v nej. Tiež sú odvážnejší, ale častokrát aj menej opatrní. Nespokojnosť ich skôr povzbudzuje v porušovaní firemnej politiky. Pokiaľ ide o podvody, skutočným motivačným faktorom bývajú peniaze.“

Ako ochrániť dáta pred ľuďmi

Hoci sa pohybujeme v rovine digitálneho sveta, ak hovoríme o znížení bezpečnostného rizika, musíme najskôr prejsť na čisto ľudské témy – emócie a komunikáciu. Ak je zamestnanec nespokojný, nahnevaný, nie je vypočuté, čo chce povedať a k tomu má široký prístup do firemnej siete, manažment má zarobené na problém.

Ak chcete firmu ochrániť pre kybernetickou hrozbou, ktorú spustí ľudský faktor, definujte si najskôr, ktoré dáta sú pre vás rizikom. Na jednej strane ide samozrejme o obchodné a marketingové dáta, ktoré by mohli zaujímať konkurenciu. V neposlednom rade však dnes, v dobe, keď digitálne korporácie atakujú súkromie, ako len môžu a legislatíva sa snaží ako-tak brániť, sú pre firmu citlivé aj osobné údaje zamestnancov a klientov. No a ak máte nainštalovaný na sieti softvér, ktorý sleduje zariadenia pripojené do siete (napríklad USB kľúče), alebo online aktivitu zamestnancov a nemáte tieto veci ošetrené právne, vzniká ďalší problém.

Zhrnuli sme riziko ľudského faktora v oblasti kybernetickej bezpečnosti do niekoľkých bodov, ktoré by pre manažment alebo majiteľa menšej firmy mali tvoriť cestovnú mapu, ktorá mu pomôže vyriešiť riziká súvisiace s dnešnými kybernetickými hrozbami.

Emócie, komunikácia

Vždy všetko začína a končí ľuďmi. Ak ste zatiaľ na aktivity oddelenia ľudských zdrojov nazerali len ako na nutné zlo a komunikačné vylepšenia v rámci firmy odsúvali na dobu, kým budú peniaze, zvážte zmenu tohto prístupu. Firemný kouč alebo stmeľovanie tímu aktivitami, ktoré nie sú nanútené, nepriamo súvisia aj s kybernetickou bezpečnosťou. Ak sú ľudia spokojní, nerobia väčšinou zle. Ak majú kde filtrovať negatívne emócie, sú vypočutí a firma im pomáha s ich vlastnou vnútornou pohodou, upevňuje sa vzťah medzi zamestnancom a firmou. Tým sa nielen znižuje riziko, že človek dá výpoveď, ale sa eliminuje aj ochota uškodiť firme.

Vzdelávanie

Môžete mať aj sto percent loajálnych zamestnancov a nadšenie na pracovisku, ale ak ľudia nevedia, čo svojim konaním v sieti môžu spôsobiť, riziko neznížite. Podľa jedného z prieskumov, ktoré robila firma BakerHostetler v oblasti kybernetickej bezpečnosti, 24 percent prienikov do firemných sietí spôsobili zamestnanci – či už omylom alebo zámerne. No a najviac, 31 percent z tohto počinu má na svedomí malware – škodlivý softvér, ktorý sa do počítača dostáva zväčša ako infikovaná príloha e-mailu, ktorú zamestnanci na firemnom počítači otvoria.

Z pohľadu manažmentu si treba uvedomiť, že digitálne hrozby napredujú tak rýchlo a sofistikovane, že bežný človek nemá šancu držať s nimi krok a sám, proaktívne sa vzdelávať v tejto oblasti. Firma, ak má zostať bezpečná, potrebuje vzdelávacie procesy, ktoré zamestnancom pravidelne a zaujímavou formou vysvetľujú, aké sú reálne hrozby, čo nimi firma môže stratiť a ako každý zamestnanec vie k nim prispieť, alebo im predchádzať.

Priveľké práva v sieti

Každý zamestnanec by sa mal vo firemnej sieti dostať len k tým dátam, ktoré naozaj potrebuje. Nielen preto, že môže škodiť zámerne, ale aj preto, že môže ublížiť nedbanlivosťou. Stačí, ak do e-mailu obchodnému partnerovi vloží nesprávnu excelovskú tabuľku, na ktorej sú podrobné marketingové dáta. Obchodný partner ju môže posunúť konkurencii a firma stráca konkurenčnú výhodu. Firemné dáta v správnych rukách pomáhajú, v nesprávnych sa obrátia proti firme. Ak chcete zamestnancov transparentne informovať o tom, ako sa firme darí, je možno vhodnejšie robiť to na pravidelných stretnutiach formou prezentácií, ako im sprístupniť na sieti všetky priečinky. Aj keď ste malá alebo stredná firma. Práve tej únik dát môže narobiť veľa problémov, pretože menší podnikatelia majú predsalen nižšiu odolnosť voči výkyvom na trhu.

Nevysvetlené právomoci

Súvisia s témou komunikácie. Ak zamestnanec nevie, čo môže, je rizikom minimálne z pohľadu nedbanlivosti. Každý zamestnanec by mal byť informovaný nielen v zákonnej rovine. Podpísaný papier síce firmu chráni z právneho hľadiska, ale neznižuje riziko úniku dát alebo iných kybernetických hrozieb. Len ak si je každý zamestnanec naozaj vedomý toho, čo môže robiť a prečo je to všetko takto nastavené, môže si manažment povedať, že urobil všetko pre to, aby kybernetické hrozby znížil na minimum.

Právne hľadisko

Nuž a napokon je tu téma, ktorá musí byť ošetrená pre prípad, že sa niečo naozaj stalo. Ak firma sleduje zamestnancov, čo robia v pracovnom čase na firemných počítačoch, musia k tomu existovať relevantné právne dokumenty a zamestnanci musia vedieť, že sa to deje a prečo sa to deje. Ochrana osobných údajov, prístup k nim a nakladenie s nimi je samostatná téma. Ak však chcete kybernetickým hrozbám nielen brániť, ale aj predísť súdnym sporom po tom, keď sa nejaký prienik udial a vy ste prišli o dáta, bez konzultácie s právnikmi to nepôjde. A lepšie je byť vopred pripravený, ako neskôr draho naprávať škody.

