Všichni, kteří si pamatují podobu OSI modelu, si asi ťukají na čelo, OSI model zná přece jen sedm vrstev, sedm úrovni. Ano, je to pravda. Tak si to zopakujeme – fyzická vrstva, linková vrstva, síťová vrstva, transportní vrstva, relační vrstva, prezentační vrstva a aplikační vrstva. Na některých vrstvách pak můžeme implementovat bezpečnostní opatření, nicméně určitě ani na jednu z nich nedáme náš „lidský firewall“. Ten nám tvoří až onu hypotetickou osmou vrstvu. Proč je osmá vrstva tak důležitá? Protože má největší potenciál zabránit průniku do naší sítě.

Podívejte se na to takto. Ano, jsou tady zranitelnosti jako je např. Spectre, ale je také známo, že tato zranitelnost nebyla ještě nikdy zneužita, a to bez ohledu na to, jestli jste ji patchovali (a příšerně se trápili) nebo ne. Na druhou stranu statistiky říkají, že za 90% všech úspěšných průniků je phishing nebo jiná sociální manipulace (no možná se ještě můžeme bavit o zapomenutých rdp, že? :-)). Proč se tedy nesoustředíme na to, co je nejpravděpodobnější, proč se nesoustředíme na vybudování „lidského firewallu“, který bude manipulacím a phishingu odolávat?!

Hodně organizací už na tom nějakým způsobem pracuje, nicméně mám občas pocit, že se to dělá spíše pro formální naplnění. Jednou ročně, (v lepším případě) se sežene pokud možno, co nejvíc uživatelů najednou do sálu či zasedačky. Dostanete jako lektor dvě hodiny, abyste se předvedl a připomněl uživatelům, co nemají dělat a je hotovo. Udělá se čárka, máme splněno, ale má to nějaký efekt? Většina auditoria pije kávu a kouká do mobilů, kde obsluhuje sociální sítě nebo dokonce si bezostyšně vytáhnou notebook a vyřizují si poštu. Můžete udělat sebezajímavější povídání, ale zaujmete stejně akorát tak první řadu nebo jedince, s kterými nepřerušíte oční kontakt a ke kterým hovoříte.

Ono školení, aby mělo nějaký efekt, musí probíhat opakovaně, a to třeba troufám si říct i v kratších lekcích. Mělo by poskytovat nějakou zábavu – už J. A. Komenský říkal: „Škola hrou.“ A samozřejmě uživatelé musí být pravidelně testováni a zkoušeni. Rozumím tomu, že takový „školící program“ bude stát peníze, ale na druhou stranu si uvědomme, že tady opravdu jde o peníze, a to peníze nemalé. Nebudu jmenovat, ale nedávné případy vyčíslily i škody a jakékoliv školení by bylo mnohem, mnohem levnější. Uvažujte tedy, jestli chcete riskovat nebo ne. Ano, jsou organizace, které zvolily strategii „nebudeme nic dělat“, a to jen proto, že zatím se jim vždy povedlo z nějakých drobných incidentů vzpamatovat. Nicméně tvrdím, že tato strategie je vlastně jenom čekáním na to, kdy přijde „velká rána“ a ta už bude opravdu bolet. Takže pokud děláte se svými uživateli alespoň něco, zvažte, jestli to nezačít dělat opravdově a aby to mělo jasný efekt.

Pokud nevíte, jak sestavit efektivní školící program, co byste měli udělat hned a co počká, jaký školící program je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) AUTOCONT ví jak.