Nejlepší školení je osobní zkušenost

Přední farmaceutická společnost zaznamenala rostoucí počet bezpečnostních incidentů na úrovni jednotlivých zaměstnanců. Toto bylo vyhodnoceno jako vysoké riziko s možným dopadem na zachování firemního tajemství a možné vysoké finanční ztráty. Samotní zaměstnanci představovali jednu z největších hrozeb pro bezpečnost informací. Byli jsme vybráni, abychom prověřili možnost úniku dat kompromitováním zaměstnaneckých přístupů.

Pomocí různých technik sociálního inženýrství včetně simulovaného malware jsme získali přístupové údaje od každého pátého zaměstnance. Po dohodě s top managementem společnosti naši specialisté připravili přesně cílený návrh bezpečnostních školení pro různé vrstvy zaměstnanců. Od řadových pracovníků v terénu přes administrativní pracovníky, externisty až po samotný management. Obsah školení jsme přizpůsobili specifické bezpečnostní politice, standardům daného segmentu i tréninku odolnosti proti běžným zločineckým technikám. Vybrané skupiny zaměstnanců byly proškoleny prezenční nebo elektronickou formou.

Po delším čase jsme provedli opětovné ověření získaných zkušeností obdobnými technikami sociálního inženýrství s odlišnými scénáři. Pouze v jednom případu ze sta se nám podařilo získat přístupová práva daného uživatele.

Popis řešení

Základní školení uživatelů ke zvýšení úrovně jejich bezpečnostního povědomí i specializovaná školení na míru organizace.

Snad všichni bezpečnostní odborníci se shodnou na tom, že uživatelé představují v současnosti nejslabší článek bezpečnosti informací v organizaci. A to nejen proto, že uživatelé zpravidla neradi čtou směrnice, a tudíž nedodržují jejich nařízení, ale i proto, že často rádi experimentují a dopouštějí se tak řady zásadních prohřešků proti bezpečnosti. Jak tedy efektivně zařídit, aby uživatele znali bezpečnostní pravidla a chovali se podle nich? Neustálým a důsledným vštěpováním základních bezpečnostních pravidel a pracovních návyků...

Řešením výše nastíněného stavu může pro organizaci být školení na míru sestavené dle konkrétních požadavků pro uživatele určité specifické úrovně. Naši konzultanti jsou schopni nabídnout a zrealizovat bezpečnostní školení jak pro základní úroveň běžných uživatelů, tak pro pokročilou úroveň manažerů, bezpečnostních správců či interních auditorů. Obsah školení může být upraven na základě platné bezpečnostní dokumentace organizace. Obsah a náplň kurzu jsou konzultovány s klientem. Vytvořená prezentace je před samotnou realizací školení poskytnuta zákazníkovi k připomínkování. Klient obdrží studijní materiály obsahující prezentaci v elektronické formě. Školení lze realizovat mimo prezenční formy také formou e-learningu.

Přínosy školení uživatelů:

• Všichni zaměstnanci budou znát konkrétní odpovědnosti a povinnosti při práci s informačním systémem.
• Zvýší se bezpečnostní povědomí uživatelů ICT o informační bezpečnosti.
• Sníží se riziko vzniku bezpečnostního incidentu vinou nízkého povědomí uživatelů o bezpečnosti – např. sníží se riziko úniku dat prostřednictvím emailové komunikace apod.
• Lze oprávněně předpokládat, že správným proškolením svých uživatelů významně omezíte nejen výskyt některých bezpečnostních incidentů v organizaci, ale také jejich dopad. Naši specialisté mají v této oblasti dlouholeté zkušenosti z různých typů organizací a jsou tedy schopni navrhnout odpovídající rozsah i formu školení.

Reference​