Hlavním rizikem IT bezpečnosti firem jsou zaměstnanci. Jak se můžete chránit?
Zaměstnanci mají v rámci svých pracovních úkolů přímý přístup k citlivým datům firem. Proto představují významné bezpečnostní riziko – ať už kvůli svému úmyslnému jednání, nebo nepozornosti. Způsobené škody mohou dosahovat milionových hodnot. Zavedením preventivních opatření mohou ale firmy možné škody zásadně omezit.
V praxi se potvrzuje, že absence pravidel přístupu k firemním datům na podnikových serverech (nebo v cloudu) je prvním, zcela zásadním bezpečnostním rizikem. Každý zaměstnanec by měl mít dle povahy své pozice ve firmě nastavena přístupová oprávnění jen k těm datům, která ke své práci skutečně potřebuje. Při velkém množství uživatelů může jít o časově náročnější aktivitu, ale z dlouhodobého hlediska ochrany nejcennějšího majetku firmy je naprosto nezbytná. Strategii přiměřeného rizika lze přijmout u použití internetu nebo (především profesních) sociálních sítí. Aby nastavení pravidel dávalo smysl a bylo v reálu funkční, je důležité začít přímo u zaměstnanců – průběžnými školeními s příklady z praxe. Například vůbec není výjimkou, že zaměstnanci sdílejí citlivá firemní data (rozpočty, seznamy kontaktů, smlouvy atd.) prostřednictvím veřejných služeb typu Ulož.to.
Čím větší firma, tím více je mezi zaměstnanci různých osobností s odlišnými přiběhy. Je tedy nezbytné, aby oddělení lidských zdrojů alespoň základním způsobem zaměstnance prověřilo ještě před přijetím do pracovního poměru. Odstrašující příklady z reálné praxe, kdy to firmy neudělaly, zahrnují nástup zaměstnance na cizí občanský průkaz nebo třeba přijetí člověka, který měl na svědomí podvody, o kterých byly dokonce četné zmínky na internetu.
Když dojde k odchodu zaměstnance z firmy, je samozřejmě ideální, pokud rozloučení probíhá v dobrém duchu. Bohužel, zdaleka ne vždy tomu tak skutečně je. Když se firmy se svým zaměstnancem rozcházejí ve zlém, velmi často přitom zapomínají na elementární pravidla bezpečnosti. K jejich dodržení a pro rychlé zajištění ochrany důležitých dat pomůže seznam procesů, které je při odchodu každého zaměstnance vždy nutné dodržet. Je třeba si ohlídat vrácení přístupových čipů, firemní platební karty a SIM karty i zrušení přístupových oprávnění a další kroky, související například i s regulací GDPR. Seznam nutných bezpečnostních kroků je ostatně dobré mít i pro nástup nových zaměstnanců.
V praxi se potvrzuje, že absence pravidel přístupu k firemním datům na podnikových serverech (nebo v cloudu) je prvním, zcela zásadním bezpečnostním rizikem. Každý zaměstnanec by měl mít dle povahy své pozice ve firmě nastavena přístupová oprávnění jen k těm datům, která ke své práci skutečně potřebuje. Při velkém množství uživatelů může jít o časově náročnější aktivitu, ale z dlouhodobého hlediska ochrany nejcennějšího majetku firmy je naprosto nezbytná. Strategii přiměřeného rizika lze přijmout u použití internetu nebo (především profesních) sociálních sítí. Aby nastavení pravidel dávalo smysl a bylo v reálu funkční, je důležité začít přímo u zaměstnanců – průběžnými školeními s příklady z praxe. Například vůbec není výjimkou, že zaměstnanci sdílejí citlivá firemní data (rozpočty, seznamy kontaktů, smlouvy atd.) prostřednictvím veřejných služeb typu Ulož.to.
Čím větší firma, tím více je mezi zaměstnanci různých osobností s odlišnými přiběhy. Je tedy nezbytné, aby oddělení lidských zdrojů alespoň základním způsobem zaměstnance prověřilo ještě před přijetím do pracovního poměru. Odstrašující příklady z reálné praxe, kdy to firmy neudělaly, zahrnují nástup zaměstnance na cizí občanský průkaz nebo třeba přijetí člověka, který měl na svědomí podvody, o kterých byly dokonce četné zmínky na internetu.
Když dojde k odchodu zaměstnance z firmy, je samozřejmě ideální, pokud rozloučení probíhá v dobrém duchu. Bohužel, zdaleka ne vždy tomu tak skutečně je. Když se firmy se svým zaměstnancem rozcházejí ve zlém, velmi často přitom zapomínají na elementární pravidla bezpečnosti. K jejich dodržení a pro rychlé zajištění ochrany důležitých dat pomůže seznam procesů, které je při odchodu každého zaměstnance vždy nutné dodržet. Je třeba si ohlídat vrácení přístupových čipů, firemní platební karty a SIM karty i zrušení přístupových oprávnění a další kroky, související například i s regulací GDPR. Seznam nutných bezpečnostních kroků je ostatně dobré mít i pro nástup nových zaměstnanců.
Ke stažení
Chtěl bych více informací
.png?ext=.png "ISO 27001")
