Je nejvyšší čas věnovat se uživatelům

A každému z nich jsem tady na té točně říkal: "Neber úplatky, neber úplatky, nebo se z toho zblázníš. Ale je to marný, je to marný, je to marný,“ prohlásil vedoucí autoservisu Karfík ve filmové komedii Jáchyme, hoď ho do stroje!

Asi se budu už opakovat, ale … je to marný, je to marný, je to marný. Občas mi někteří správci říkají, že jejich uživatelé kliknou tam a onam, a to přesto, že mají každý rok (dva roky, tři roky) bezpečnostní školení. Vždy při tom povytáhnu obočí a spustím svoji zkrácenou verzi přednášky o efektivitě jednorázového školení. Mimochodem, kdyby Jágr trénoval střelbu jednou ročně, kolik by tak asi dal ve své kariéře branek, co myslíte?

Opravdu si myslím, že je nejvyšší čas, začít se zaobírat školením a trénováním uživatelů seriózním způsobem, a to zejména protože se jimi a jejich chováním kybezločinci zaobírají delší dobu. Zopakuji teď statistiku, která uvádí, že cca 80-90 % útoků je dnes realizováno přes selhání lidského faktoru (třeba využitím sociálních manipulací). Takže zatímco se v běžné organizaci točí bezpečnost informačního systému kolem toho, jaké pořídit firewally a jaké antivirové systémy jsou nejúčinnější, tak v kybergangu spekulují o tom, jakou legendu, manipulaci připravit na uživatele. Ne, v žádném případě nechci bagatelizovat význam technických opatření, nicméně chci upozornit na stále ještě „Popelku“ bezpečnosti, a to na nevhodné vzdělávání a budování bezpečnostního povědomí.

Už jsem toho před uživateli napovídal hodně – a snad se mi daří dělat to i zábavně a hlavně zajímavě a moje zkušenost je, že většina posluchačů zpravidla pije kávu a nahlíží do mobilů, kde obsluhuje sociální sítě nebo dokonce si bezostyšně vytáhnou notebook a vyřizují si poštu. Povídám tedy jen k první řadě nebo jedincům, s kterými nepřeruším oční kontakt. Sám vnímám, že efekt toho povídání bude za 14 dní, v lepším případě za měsíc pryč, ale organizace je spokojena, čárka v kolonce školení je zapsána. Celkem nefér je potom obviňovat uživatele, že nám (bezpečákům) kazí naše úsilí, pokud jim nevěnujeme čas a nesnažíme se jim opakovaně vysvětlit, co je nebezpečné. Ano, někdo se od kamen spálí a pak už na ně nesáhne, ale v případě bezpečnosti informačního systému je lepší si takovou zkušenost odpustit.

Pokud nevíte, jak sestavit efektivní školící program, co byste měli udělat hned a co počká, jaký školící program je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte. :-) AUTOCONT ví jak.

Zájem ?